Anexo de Encargado del Tratamiento

Última actualización: 21 de marzo de 2023

El presente Anexo de encargado del tratamiento («DPA») entre usted, el usuario, junto con cualquier empresa u otra entidad comercial a la que represente, si la hubiera (colectivamente, el «Cliente») y la parte contratante de VistaPrint, según corresponda en virtud del Contrato («VistaPrint»), se incorpora por referencia y complementa y forma parte de los términos que rigen el uso de los diferentes Servicios de VistaPrint, en su versión modificada periódicamente (colectivamente, el «Contrato»). El presente DPA se aplica cuando y en la medida en que VistaPrint actúe como encargado o proveedor de servicios (según corresponda) de Datos personales en nombre del Cliente en virtud del Contrato. El presente DPA entrará en vigor y sustituirá y dejará sin efecto cualquier condición aplicable anteriormente en relación con su objeto a partir de la fecha de vigencia del Contrato y permanecerá en vigor hasta el momento en que se rescinda el Contrato.

1. DEFINICIONES

«País adecuado» significa, según corresponda (i) cuando se aplique el RGPD de la UE, el Espacio Económico Europeo («EEE») o un país o territorio que se considere que garantiza un nivel adecuado de protección por parte de la Comisión Europea; (ii) cuando se aplique el RGPD del Reino Unido, el Reino Unido o un país o territorio reconocido como garante de una protección de datos adecuada de conformidad con la Sección 17A de la Ley de Protección de Datos del Reino Unido de 2018 modificada o sustituida; y (iii) cuando se aplique la FADP suiza modificada o sustituida, Suiza o un país o territorio fuera de Suiza que haya sido reconocido para garantizar un nivel adecuado de protección por el Comisionado Federal de Protección de Datos e Información.

«Finalidad comercial» se refiere a la finalidad limitada identificada específicamente en el Anexo I para la que VistaPrint recibe o accede a los Datos personales.

«Leyes de protección de datos» hace referencia a todas las leyes y normativas de protección de datos y privacidad aplicables, según corresponda a una de las partes, incluidas, entre otras, las leyes de protección de datos de la UE y las leyes de protección de datos de EE. UU., y cualquier otra ley estatal o nacional de protección de datos, privacidad de datos o seguridad de datos aplicable al ámbito de los Servicios, en cada caso según se modifiquen, sustituyan o reemplacen periódicamente.

«Datos personales de los consumidores finales» se refiere a los Datos personales pertenecientes a los visitantes y usuarios de los servicios del Cliente y procesados por VistaPrint en nombre del Cliente para la prestación de los Servicios.

«Leyes de protección de datos de la UE» significa (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos o «RGPD de la UE»), (ii) el RGPD incorporado a la legislación nacional del Reino Unido de conformidad con la Sección 3 de la Ley de la Unión Europea (Retirada) de 2018 (el «RGPD del Reino Unido»); (iii) la Ley federal suiza sobre protección de datos de 19 de junio de 1992 y sus ordenanzas correspondientes («FADP»); (iv) la Directiva 2002/58/CE de la UE sobre privacidad y comunicaciones electrónicas; y (v) cualquier ley del Estado miembro de la UE o del Reino Unido elaborada en virtud o de conformidad con los puntos (i) - (iii); en cada caso según se modifique, sustituya o reemplace periódicamente.

«Datos personales», «Interesado», «Tratar» o «Tratamiento», «Responsable» y «Encargado» tendrán el significado que se les atribuya en las Leyes de protección de datos aplicables o, si no se definen en ellas, en el RGPD, y los términos «Empresa» y «Proveedor de servicios» tendrán el significado que se les atribuya en la CCPA.

«Servicios» hace referencia a los diferentes servicios prestados por VistaPrint al Cliente en su sitio web, donde y en la medida en que VistaPrint actúe como Procesador o Proveedor de servicios (según corresponda) en nombre del Cliente en virtud del Contrato correspondiente, incluidos, entre otros, el Contrato del Programa ProAdvantage y los Términos de uso de ProShop.

«Cláusulas Contractuales Tipo» o «CCT» se refiere a, (i) cuando se aplique el RGPD de la UE y/o la FADP suiza, las cláusulas contractuales tipo de la UE aprobadas por la de la Comisión Europea (UE) 2021/914 de 4 de junio de 2021 («CCT de la UE»); y (ii) cuando se aplique el RGPD del Reino Unido, las CCT de la UE modificadas por el Apéndice de Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo de la Comisión de la UE emitido por la Oficina del Comisionado de Información del Reino Unido («Apéndice del Reino Unido»), en cada caso, según se modifique, sustituya o reemplace de vez en cuando. Las CCT de la UE y el apéndice del Reino Unido se incorporan por referencia y forman parte integrante del presente DPA.

«Subencargado» hace referencia a cualquier entidad contratada por VistaPrint, incluidos sus Afiliados, para ayudar a cumplir sus obligaciones en virtud del Contrato o del presente DPA.

«Evaluación del Riesgo de Transferencia» significa las garantías adicionales para complementar las garantías proporcionadas por las CCT y el Apéndice del Reino Unido.

«Leyes de protección de datos de EE.UU.» se refiere a todas las leyes y normativas aplicables de cualquier jurisdicción de Estados Unidos relacionadas con la privacidad, la protección de datos o la seguridad de los datos (en cada caso, modificadas, sustituidas o reemplazadas de vez en cuando), incluyendo, sin limitación, según proceda, la California Consumer Privacy Act (Ley de Privacidad del consumidor de California), modificada por la California Privacy Rights Act (Ley de Derechos de Privacidad de California), junto con los reglamentos promulgados en virtud de la misma (colectivamente, la «CCPA», Ley de Privacidad del Consumidor de California); la Virginia Consumer Data Protection Act (Ley de Protección de Datos del Consumidor de Virginia); la Colorado Privacy Rights Act (Ley de Derechos de Privacidad de Colorado); la Connecticut Data Privacy Act (Ley de Privacidad de Datos de Connecticut); y la Utah Consumer Privacy Act (Ley de Privacidad del Consumidor de Utah).

Otros términos en mayúsculas utilizados pero no definidos en este APD tendrán el significado que se les da en el Contrato.

2. FUNCIONES Y ALCANCE DEL TRATAMIENTO

2.1. Funciones de las Partes. Las partes acuerdan que, con respecto al Tratamiento de los Datos Personales de los consumidores finales en virtud de este DPA, el Cliente actúa como Responsable del tratamiento o Empresa (según corresponda) y VistaPrint actúa como Encargado del tratamiento o Proveedor de servicios (según corresponda).

El Cliente reconoce que VistaPrint actúa como Responsable de tratamiento independiente con respecto a los Datos Personales que recopila directamente de los clientes o visitantes a través de sus aplicaciones y servicios de cara al consumidor.

2.2. Alcance del Procesamiento. Cada una de las partes cumplirá con todas las Leyes de protección de datos aplicables y con sus respectivas obligaciones en virtud del Contrato y del presente DPA en relación con su Tratamiento de los Datos personales de los Consumidores finales, tal y como se describe en el Anexo I. Sin limitar lo anterior, VistaPrint proporcionará el mismo nivel de protección de la privacidad que la CCPA exige a las Empresas (tal y como se definen en la CCPA).

3. OBLIGACIONES DE LAS PARTES

3.1. Obligaciones del Cliente. Al utilizar los Servicios prestados por VistaPrint:

(i) El Cliente garantiza y declara que ha notificado a los Interesados y ha establecido todas las bases legales y obtenido todos los consentimientos necesarios en virtud de las Leyes de protección de datos aplicables para que VistaPrint, y sus Subencargados, procesen los Datos personales de los Consumidores finales en su nombre y proporcionen los Servicios de conformidad con el Contrato, incluido este DPA.

(ii) El Cliente es el único responsable de la exactitud y calidad de los Datos Personales de los consumidores finales proporcionados y de la legalidad de los medios por los que el Cliente adquiere, divulga y procesa los Datos Personales de los consumidores finales. El Cliente seguirá siendo el único responsable de su propio cumplimiento de las Leyes de Protección de Datos aplicables con respecto a cualquier recopilación y Tratamiento independientes de Datos Personales no relacionados con los Servicios.

(iii) El Cliente da instrucciones a VistaPrint para que procese los Datos Personales de los Consumidores finales en su nombre de conformidad con este DPA y se asegurará de que sus instrucciones cumplan con las Leyes de protección de datos aplicables. El presente DPA y el Contrato conforman las instrucciones completas y definitivas del Cliente a VistaPrint. Las instrucciones adicionales fuera del ámbito del Contrato o de esta DPA deberán acordarse por separado y por escrito, incluyendo cualquier tarifa adicional que el Cliente deba abonar a VistaPrint por llevar a cabo dichas instrucciones adicionales.

3.2. Obligaciones de VistaPrint. VistaPrint, con respecto al tratamiento de los Datos Personales del Consumidor final:

(i) tratará únicamente los Datos Personales de los Consumidores finales para fines comerciales y de conformidad con las instrucciones del Cliente, en la medida en que dichas instrucciones sean compatibles con el Contrato y el presente DPA;

(ii) tratará los Datos Personales de los Consumidores finales como información confidencial y los procesará únicamente en la medida y de la forma necesarias para cumplir las obligaciones derivadas del Contrato y para los fines que se especifican más adelante en el Anexo I. VistaPrint no podrá procesar los Datos Personales de los Consumidores finales para ningún otro fin, a menos que VistaPrint esté obligado a hacerlo por ley. En tal caso, VistaPrint informará al Cliente por escrito de dicho requisito legal antes del Tratamiento, a menos que dicha ley prohíba dicha información por motivos importantes de interés público;

(iii) ayudará al Cliente a garantizar el cumplimiento de sus obligaciones en virtud de la legislación aplicable en materia de protección de datos, lo que podría incluir, entre otros, a título meramente enunciativo y no limitativo, la realización de cualquier evaluación de impacto sobre la privacidad o consulta previa con las autoridades competentes en materia de protección de datos, a petición del Cliente;

(iv) informará al Cliente si considera que las instrucciones de Tratamiento del Cliente infringen la legislación aplicable en materia de protección de datos. En tal caso, VistaPrint se reserva el derecho a dejar de procesar los Datos Personales del Consumidor final hasta que el Cliente proporcione nuevas instrucciones, y VistaPrint no será responsable ante el Cliente por la no prestación de los Servicios contemplados en el Contrato durante dicho periodo;

(v) garantizará que los empleados y Subencargados que tengan acceso a los Datos Personales del Consumidor final estén sujetos a las obligaciones de confidencialidad adecuadas;

(vi) notificará al Cliente cualquier determinación adoptada en el sentido de que ya no puede cumplir sus obligaciones en virtud del presente DPA o de la legislación en materia de protección de datos;

(vii) notificará sin demora al Cliente cualquier solicitud realizada por cualquier Interesado u organismo encargado de velar por el cumplimiento de la ley en relación con el Tratamiento de los Datos Personales del Consumidor final, de modo que el Cliente pueda responder a dicha solicitud; y

(viii) proporcionará rápidamente la cooperación y asistencia que el Cliente requiera en la medida de lo razonable para cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos en relación con las solicitudes de los Interesados o cualquier solicitud de la autoridad gubernamental reguladora o supervisora aplicable.

En la medida en que lo permitan las Leyes de protección de datos aplicables, VistaPrint podrá utilizar internamente datos agregados y anonimizados derivados de los Datos personales de los Consumidores finales («Datos anonimizados») para crear y mejorar la calidad de los Servicios, siempre que dichos Datos anonimizados no constituyan como Datos Personales en virtud de las Leyes de protección de datos aplicables.

3.3. Actividades de tratamiento prohibidas de VistaPrint. VistaPrint no podrá:

(i) Vender o compartir (tal y como se define en la CCPA) los Datos personales de los Consumidores finales o conservar, utilizar o divulgar los Datos personales de los Consumidores finales para cualquier fin comercial (tal y como se define en la CCPA) o fuera de su relación comercial directa con el Cliente y únicamente bajo la autorización previa por escrito del Cliente; y

(ii) mezclar o combinar Datos personales de Consumidores finales con sus propios datos o con los datos de terceros, salvo que sea estrictamente necesario para prestar los Servicios.

VistaPrint certifica que entiende y cumplirá las restricciones sobre el uso de Datos personales de los Consumidores finales en relación con los Servicios establecidos en el presente DPA.

4. DERECHOS DEL INTERESADO

En la medida en que VistaPrint pueda, y en consonancia con la legislación aplicable, VistaPrint, teniendo en cuenta la naturaleza del Tratamiento, proporcionará asistencia para permitir al Cliente responder a cualquier solicitud recibida de los Interesados para ejercer sus derechos en virtud de las leyes de protección de datos aplicables. El Cliente correrá con todos los gastos en que incurra VistaPrint en relación con la prestación de dicha asistencia. Si dicha solicitud se realiza directamente a VistaPrint, VistaPrint informará al Cliente, a menos que VistaPrint tenga legalmente prohibido hacerlo, y el Cliente será el único responsable de responder a dicha solicitud. VistaPrint no se responsabiliza de la información proporcionada de buena fe al Cliente basándose en esta Sección.

5. SUBPENCARGADOS

5.1. Autorización general. Por la presente, el Cliente concede a VistaPrint una autorización general para contratar a Subencargados (incluidos sus Afiliados) para procesar los Datos personales del Consumidor final con el fin de prestar los Servicios y cumplir sus obligaciones en virtud del Contrato y del presente DPA. VistaPrint pondrá a disposición del Cliente una lista de los Subencargados que contrate, siempre y cuando se respeten las disposiciones de confidencialidad del Contrato y cuando el Cliente lo solicite previamente.

5.2. Obligaciones. VistaPrint impondrá sustancialmente las mismas obligaciones contractuales a sus Subencargados que las impuestas a VistaPrint en virtud del presente DPA, en la medida aplicable a la naturaleza de los servicios prestados por cada Subencargado.

5.3. Derecho de oposición a nuevos Subencargados. Al contratar nuevos Subencargados, VistaPrint avisará previamente al Cliente, tan pronto como sea razonablemente posible, cuando y en la medida en que dicha contratación esté relacionada con la prestación de los Servicios aplicables.

5.3.1. El Cliente podrá oponerse por escrito a la designación o sustitución de un Subencargado de tratamiento por parte de VistaPrint en un plazo de diez (10) días laborables a partir de la recepción de la notificación, basándose en motivos razonables relacionados con las Leyes de protección de datos aplicables. En tal caso, VistaPrint podrá, a su entera discreción, optar por realizar esfuerzos comerciales razonables (pero no está obligado a ello) para poner a su disposición una solución alternativa que evite el Tratamiento de los Datos personales de los Usuarios finales por parte del Subencargado nuevo o sustituto. Hasta que VistaPrint tome una decisión con respecto a la objeción del Cliente, VistaPrint puede verse obligada a suspender temporalmente el Tratamiento de los Datos personales de los Usuarios finales relacionados, incluyendo, si fuera necesario para este asunto, suspender o limitar el acceso a la Cuenta del Cliente o suspender o limitar determinadas funciones de los Servicios ofrecidos al Cliente. Si VistaPrint es razonablemente capaz de prestar los Servicios al Cliente de conformidad con el Acuerdo sin utilizar el Subencargado y decide hacerlo a su discreción, el Cliente no tendrá ningún otro derecho en virtud de esta Sección con respecto al uso propuesto del Subencargado.

5.3.2. Si VistaPrint, a su discreción, requiere el uso del Subencargado del tratamiento y no puede satisfacer la objeción del Cliente con respecto al uso propuesto del Subencargado del tratamiento nuevo o sustituto en un plazo de treinta (30) días a partir de la recepción de su objeción razonada válida, entonces el Cliente podrá rescindir el Acuerdo aplicable con efecto a partir de la fecha en que VistaPrint comience a utilizar dicho Subencargado del tratamiento nuevo o sustituto únicamente con respecto a los Servicios que utilizarán el nuevo Subencargado del tratamiento propuesto para el Tratamiento de Datos personales mediante notificación por escrito a VistaPrint. Dicha rescisión se realizará sin perjuicio de los honorarios en los que haya incurrido el Cliente antes de la rescisión de los Servicios afectados y el Cliente no tendrá ninguna otra reclamación contra VistaPrint en relación con la rescisión de los Servicios afectados.

5.3.3. Si el Cliente no se opone por escrito a la designación de un nuevo Subencargado por parte de VistaPrint en un plazo de diez (10) días laborables a partir de la recepción de la notificación, el Cliente acepta que se considerará que ha dado su consentimiento a dicho nuevo Subencargado.

5.4. Responsabilidad. VistaPrint seguirá siendo responsable de cualquier incumplimiento de este DPA causado por un acto u omisión de sus Subencargados del tratamiento, en la misma medida en que VistaPrint sea responsable de los suyos propios, salvo que se establezca lo contrario en el Acuerdo.

6. TRANSFERENCIAS DE DATOS INTERNACIONALES

6.1. En general. Como parte de la prestación de los Servicios, el Cliente autoriza a VistaPrint, sus Afiliados y sus Subencargados a almacenar, tratar y transferir Datos personales del Consumidor final a cualquier parte del mundo donde VistaPrint, sus Afiliados o Subencargados mantengan operaciones de Tratamiento de datos. Cuando se transfieran Datos personales de la UE, Reino Unido o Suiza fuera del EEE, Reino Unido o Suiza, VistaPrint solo tratará o permitirá el Tratamiento de Datos personales de la UE, Reino Unido o Suiza fuera del EEE, Reino Unido o Suiza si se cumple una de las siguientes condiciones:

a) los Datos personales de los Consumidores finales de la UE, Reino Unido o Suiza se transfieren a un País adecuado; o

b) las Cláusulas Contractuales Tipo y la Evaluación del Riesgo de Transferencia están vigentes entre VistaPrint y el Cliente y/o entre VistaPrint y el Subencargado, según proceda.

6.2. Transferencias de Datos personales en la UE. En la medida en que los Datos personales se transfieran desde cualquier jurisdicción del EEE para la que el RGPD regule la naturaleza internacional de la transferencia, las CCT de la UE forman parte del presente DPA, y se considerarán completadas de la siguiente manera:

(i) Los términos del Módulo dos (Responsable a Encargado) se aplicarán cuando el Cliente sea Responsable y exportador de Datos personales y VistaPrint sea Encargado e importador de datos con respecto a dichos Datos personales.

(ii) Los términos del Módulo tres (de Encargado a Encargado) se aplicarán cuando VistaPrint sea un Encargado que actúe en nombre de un Responsable y un exportador de Datos personales, y el Subencargado sea un Encargado e importador de datos con respecto a esos Datos personales.

(iii) Se aplicará la Cláusula 7 (a)-(c);

(iv) Se aplicará la Cláusula 9, Opción 2, y el plazo de notificación previa de los cambios de Subencargado se ajustará al proceso de notificación establecido en las disposiciones sobre Subencargados del presente DPA.

(v) No se aplicará la Cláusula 11;

(vi) Se aplicará la Cláusula 17, Opción 1, y las CCT de la UE se regirán por la ley especificada en el Contrato, siempre que dicha ley sea una ley de un Estado miembro de la UE que reconozca derechos de terceros beneficiarios; de lo contrario, se aplicará la legislación de los Países Bajos;

(vii) Cláusula 18 (b), los litigios se resolverán ante los tribunales especificados en el Contrato, siempre que dichos tribunales estén situados en un Estado miembro de la UE; en caso contrario, dichos tribunales serán los tribunales de los Países Bajos. En cualquier caso, la Cláusula 17 y la 18 (b) serán coherentes en el sentido de que la elección del tribunal y la jurisdicción recaerán en el país de la ley aplicable;

(viii) Los anexos de las CCT de la UE se cumplimentarán con la información pertinente establecida en los anexos I, II y III del presente DPA; y

(ix) En la medida en que las CCT de la UE entren en conflicto con cualquier disposición del presente DPA, prevalecerán las CCT de la UE en la medida de dicho conflicto.

6.3. Transferencias de Datos personales en Reino Unido. En la medida en que se transfieran Datos Personales del Reino Unido para los que el RGPD del Reino Unido regule la naturaleza internacional de la transferencia, las CCT de la UE a las que se hace referencia en la Sección 6.2 anterior se aplicarán junto con el Anexo del Reino Unido, y se considerarán completadas de la siguiente manera:

(i) Las tablas 1 a 3 de la Parte 1 del Apéndice del Reino Unido se considerarán completadas con la información contenida en los anexos del presente DPA;

(ii) La tabla 4 de la Parte 2 del Apéndice del Reino Unido se considerará cumplimentada al seleccionar "importador"; y

(iii) Cualquier conflicto entre las CCT de la UE y el Apéndice del Reino Unido se resolverá de conformidad con la Sección 10 y la Sección 11 del Apéndice del Reino Unido.

6.4. Transferencias de Datos personales en Suiza. En la medida en que los Datos Personales se transfieran desde Suiza de un modo que daría lugar a obligaciones en virtud de la Ley Federal de Protección de Datos de Suiza ("FADP"), las CCT de la UE se aplicarán a dichas transferencias y se considerarán modificadas de modo que incorporen las referencias y definiciones pertinentes que harían de dichas CCT de la UE una herramienta adecuada para dichas transferencias en virtud de la FADP, incluidas, entre otras, las siguientes:

(i) La autoridad de control competente en el Anexo I.C de las CCT de la UE en virtud de la cláusula 13 es el Comisario Federal de Protección de Datos e Información de Suiza;

(ii) La ley aplicable a las reclamaciones contractuales en virtud de la Cláusula 17 de las CCT de la UE es la legislación de Suiza o la de un país que permita y conceda derechos como tercero beneficiario;

(iii) El término «Estado miembro» utilizado en las CCT de la UE no se interpretará de forma que excluya a los Interesados en Suiza de la posibilidad de reclamar sus derechos en su lugar de residencia habitual (Suiza) de conformidad con la Cláusula 18(c); y

(iv) Las CCT de la UE también protegen los datos de las personas jurídicas hasta la entrada en vigor del FADP revisado.

6.5. Garantías adicionales. En la medida en que VistaPrint trata Datos personales de Interesados ubicados en el EEE, Reino Unido o Suiza, o sujetos a las Leyes de protección de datos aplicables en dichos países, VistaPrint ha implementado una serie de garantías adicionales en relación con la transferencia de dichos Datos personales desde estas jurisdicciones. VistaPrint ha realizado una Evaluación del riesgo de transferencia, que se facilitará al Cliente mediante solicitud por escrito al correo electrónico [email protected].

7. SEGURIDAD DE LOS DATOS Y NOTIFICACIÓN DE FILTRACIÓN DE LOS DATOS

7.1. Medidas de seguridad. VistaPrint ha implementado y mantendrá medidas de seguridad técnicas y organizativas apropiadas para proteger los Datos personales de los Consumidores finales contra el Tratamiento no autorizado o ilegal y la pérdida o alteración accidental («Incidente de seguridad»). En particular, VistaPrint ha aplicado las medidas técnicas y de organización que figuran en el Anexo II.

7.2. Notificación de filtración de los datos. En caso de que VistaPrint tenga conocimiento de un incidente de seguridad que afecte a los Datos personales del Consumidor final, VistaPrint tomará las medidas razonables para notificárselo al Cliente sin demoras indebidas y deberá:

(i) proporcionar al Cliente la información sobre el Incidente de seguridad que razonablemente pueda revelar al Cliente, teniendo en cuenta la naturaleza de los Servicios, la información de que dispone VistaPrint y cualquier restricción a la revelación de la información, como por ejemplo por motivos de confidencialidad.

(ii) proporcionar, a petición del Cliente, asistencia adecuada para que el Cliente pueda notificar a las autoridades competentes o a los Interesados afectados, tal y como exigen las Leyes de protección de datos aplicables.

Un incidente de seguridad no incluye intentos fallidos o actividades que no comprometan la seguridad de los Datos personales de los Consumidores finales. La notificación o respuesta de VistaPrint a un Incidente de seguridad no constituirá un reconocimiento de culpa o responsabilidad con respecto a dicho Incidente de seguridad.

8. AUDITORÍAS

8.1. Informes de auditoría. VistaPrint proporcionará, tras previa solicitud por escrito del Cliente, a intervalos justificados (no más de una vez al año) y con sujeción a las obligaciones de confidencialidad, una copia de los resúmenes más recientes de las auditorías, certificaciones o informes de terceros realizados por VistaPrint en ese momento, según corresponda. Las partes acuerdan que los derechos de auditoría del Cliente descritos en las Leyes de protección de datos aplicables quedarán satisfechos con el suministro por parte de VistaPrint de dichos resúmenes y/o informes.

8.2. Auditoría de la autoridad supervisora. VistaPrint facilitará al Cliente un acceso adecuado a su documentación y sistemas en caso de auditoría exigida por un regulador gubernamental o autoridad supervisora para el cumplimiento de las Leyes de protección de datos aplicables.

8.3. Información confidencial. Cualquier información proporcionada por VistaPrint en virtud de esta Sección 8 constituye información confidencial. VistaPrint no estará obligada a revelar ningún secreto comercial, incluidos algoritmos, código fuente, secretos de mercado e información similar.

9. ELIMINACIÓN DE DATOS

Las partes acuerdan que, tras la rescisión del DPA o la solicitud por escrito del Cliente, VistaPrint destruirá, y hará que cualquier Subencargado destruya de forma segura todos los Datos personales de los Consumidores finales y cualquier copia de los mismos tan pronto como sea posible de acuerdo con los términos del Contrato y la legislación aplicable. Independientemente de lo anterior, VistaPrint podrá conservar la totalidad o parte de los Datos personales del Consumidor final revelados si así lo exige el Contrato o la legislación o normativa aplicable (incluidas las Leyes de protección de datos aplicables), siempre que dichos Datos personales del Consumidor final sigan estando protegidos de acuerdo con los términos del presente DPA y las Leyes de protección de datos aplicables.

10. OTROS

10.1. Jerarquía. En caso de incoherencia o conflicto entre las disposiciones del presente DPA y las disposiciones del Contrato, prevalecerán las disposiciones del presente DPA en la medida de dicho conflicto en relación con el Tratamiento de los Datos personales de los Consumidores finales. En caso de conflicto entre las Cláusulas Contractuales Tipo (si procede), el presente DPA o el Contrato, prevalecerán las Cláusulas Contractuales Tipo.

10.2. Actualizaciones del DPA. VistaPrint puede modificar el presente DPA cuando sea necesario y publicará la versión más actualizada en el sitio web. Dichos cambios o modificaciones entrarán en vigor en el momento de su publicación. Al continuar utilizando o accediendo a los Servicios tras la entrada en vigor de cualquier modificación, el Cliente acepta quedar vinculado por el DPA modificado.

10.3. Legislación aplicable. El presente DPA se regirá e interpretará de conformidad con la legislación aplicable y las disposiciones sobre jurisdicción contenidas en el Contrato, salvo que la legislación aplicable relativa a la protección de datos exija otra cosa.

10.4. Limitación de responsabilidad. Todas las actividades realizadas en virtud del presente DPA (incluido, sin limitación, el Tratamiento de los Datos personales de los Consumidores finales) están sujetas a las limitaciones de responsabilidad aplicables establecidas en el Contrato

10.5 Contacto. Cualquier pregunta relativa a este DPA debe dirigirse al responsable de protección de datos en [email protected]. VistaPrint intentará resolver cualquier reclamación relativa al uso de los Datos personales del Consumidor final de conformidad con el presente DPA y el Contrato.

ANEXO I - DESCRIPCIÓN DEL TRATAMIENTO/TRANSFERENCIA

A. LISTA DE LAS PARTES

Exportadores de datos:

  • Nombre: La entidad identificada como el «Cliente» o el nombre especificado en la cuenta del Cliente.
  • Dirección: La dirección de facturación del Cliente especificada en la cuenta del Cliente.
  • Nombre, cargo y detalles de contacto: La información de contacto especificada en la cuenta del Cliente.
  • Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: Cualquier actividad relevante a efectos de recibir los Servicios prestados por VistaPrint en relación con el Contrato.
  • Firma y fecha: Al firmar el DPA, se considera que el exportador de datos ha firmado las Cláusulas Contractuales Tipo y los Anexos incorporados al presente documento a partir de la fecha de entrada en vigor del DPA.
  • Función (Responsable/Encargado): Responsable

Importadores de datos:

  • Nombre: Parte contratante de VistaPrint, según proceda en virtud del Contrato.
  • Dirección: Dirección de la Parte contratante de VistaPrint según corresponda en virtud del Contrato.
  • Nombre, cargo y detalles de contacto: [email protected].
  • Actividades relacionadas con los datos transferidos en virtud de las presentes cláusulas: Tratamiento de Datos personales en relación con el uso por parte del Cliente de los Servicios de VistaPrint.
  • Firma y fecha: Al firmar el DPA, se considera que el importador de datos ha firmado las Cláusulas Contractuales Tipo y los Anexos incorporados al presente documento a partir de la fecha de vigencia del DPA.
  • Función (Responsable/Encargado): Encargado

B. DESCRIPCIÓN DE LA TRANSFERENCIA

Categorías de interesados: Los interesados pueden ser, entre otros:

  • Consumidores finales (que sean personas físicas), como clientes actuales y potenciales o visitantes que son usuarios del servicio al Cliente.
  • Representantes del Cliente, empleados, candidatos, agentes, consultores, autónomos, socios comerciales, subcontratistas y/o colaboradores (que sean personas físicas) actuales, anteriores o futuros.
  • Terceros con los que el Cliente decida relacionarse a través del Servicio.

Categorías de datos personales: Datos personales presentados dentro del ámbito y la naturaleza determinados por el Responsable a su entera discreción.

Datos transferidos de carácter confidencial (si procede) y restricciones o garantías aplicadas: Las partes no prevén la transferencia de datos confidenciales.

Frecuencia de la transferencia: De forma continua en función del uso de los Servicios por parte del Cliente.

Naturaleza del Tratamiento: Ejecución de los Servicios de conformidad con el Contrato.

Finalidades de la transferencia de datos y su posterior Tratamiento: Podemos utilizar sus Datos personales para las siguientes finalidades (y tareas relacionadas con dichas finalidades), todo ello de conformidad con el Contrato y de forma proporcionada y respetuosa con los Datos personales de los Consumidores finales:

  • Prestarle los Servicios;
  • Seguir sus instrucciones;
  • Ejecutar y hacer cumplir el Contrato y el presente DPA;
  • Defender nuestros derechos;
  • Prevenir, investigar y mitigar los riesgos e incidentes relacionados con la seguridad de los datos, fraudes, errores y/o actividades ilegales o prohibidas;
  • Cumplir la legislación y la normativa aplicables

Periodo durante el cual se conservarán los datos personales o, de no ser posible, los criterios utilizados para determinar dicho periodo: VistaPrint conservará los Datos personales hasta la finalización del Contrato y de conformidad con la Sección 9 del DPA, a menos que se establezca lo contrario en el Contrato.

Para las transferencias a (sub)encargados, especifique también el objeto, la naturaleza y la duración del tratamiento: Los Subencargados tratarán los Datos personales según sea necesario para prestar los Servicios de conformidad con el Contrato y durante la vigencia del mismo, a menos que se acuerde lo contrario por escrito.

C. AUTORIDAD SUPERVISORA COMPETENTE

Identifique a la autoridad o autoridades de control competentes de conformidad con la Cláusula 13: La Autoridad Neerlandesa de Protección de Datos, salvo que el artículo 6 del DPA disponga lo contrario.

ANEXO II - MEDIDAS TÉCNICAS Y ORGANIZATIVAS INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

VistaPrint mantiene actualmente las siguientes medidas de seguridad técnicas y organizativas para la protección, confidencialidad e integridad de los Datos personales. Tenga en cuenta que VistaPrint puede modificar estas prácticas a su discreción. Las modificaciones que se introduzcan no disminuirán sustancialmente la seguridad y protección generales de los Datos personales.

1- Impedir que personas no autorizadas accedan a los sistemas con los que se tratan o utilizan Datos personales (control de acceso físico); en particular, adoptando las siguientes medidas:

  • Acceso controlado a zonas críticas o sensibles
  • Registros de incidencias
  • Sistemas automatizados de control de acceso
  • Lectores de tarjetas de identificación o con chip
  • Formación en materia de seguridad

2- Impedir que los sistemas de Tratamiento de datos se utilicen sin autorización (control de acceso lógico); en particular, adoptando las siguientes medidas:

  • Dispositivos de red como sistemas de detección de intrusos, routers y cortafuegos.
  • Inicio de sesión seguro con identificador de usuario y contraseña únicos, incluidos requisitos de complejidad de la contraseña y autenticación multifactor cuando proceda.
  • La política obliga a bloquear los puestos de trabajo desatendidos. La contraseña del salvapantallas está implementada de tal forma que si el usuario olvida bloquear la estación de trabajo, se asegura el bloqueo automático.
  • Registro y análisis del uso del sistema.
  • Acceso basado en funciones para sistemas críticos que contienen Datos personales.
  • Proceso de actualizaciones rutinarias del sistema para vulnerabilidades conocidas.
  • Cifrado de discos duros de portátiles.
  • Supervisión de vulnerabilidades de seguridad en sistemas críticos.
  • Implantación y actualización de software antivirus.
  • Dispositivos de red como sistemas de detección de intrusos, routers y cortafuegos.
  • Cumplimiento de la norma de seguridad de datos del sector de las tarjetas de pago.

3- Garantizar que las personas autorizadas a utilizar un sistema solo puedan acceder a los datos a los que tienen derecho de acceso, y que, en el curso del Tratamiento o uso y después del almacenamiento, los Datos personales no puedan ser leídos, copiados, modificados o eliminados sin autorización (control de acceso a los datos); en particular, adoptando las siguientes medidas:

  • Dispositivos de red como sistemas de detección de intrusos, routers y cortafuegos.
  • Inicio de sesión seguro con identificador de usuario y contraseña únicos, incluidos requisitos de complejidad de la contraseña y autenticación multifactor cuando proceda.
  • Registro y análisis del uso del sistema.
  • Acceso basado en funciones para sistemas críticos que contengan Datos personales.
  • Cifrado de discos duros de portátiles.
  • Implantación y actualización de software antivirus.
  • Cumplimiento de la norma de seguridad de datos del sector de las tarjetas de pago.

4- Garantizar que los Datos personales no puedan ser leídos, copiados, modificados o suprimidos sin autorización durante su transmisión electrónica, transporte o almacenamiento, adoptando las siguientes medidas:

  • Inicio de sesión seguro con identificador de usuario y contraseña únicos, incluidos requisitos de complejidad de la contraseña y autenticación multifactor cuando proceda.
  • Protocolos de transmisiones seguras.
  • Registro y análisis del uso del sistema.
  • Acceso basado en funciones para sistemas críticos que contengan Datos personales.
  • Dispositivos de red como sistemas de detección de intrusos, routers y cortafuegos.
  • Implantación de una VPN.

5- Garantizar que los Datos personales se tratan únicamente de acuerdo con la política de la empresa, adoptando las siguientes medidas:

  • Formación obligatoria sobre seguridad y privacidad para todos los empleados.
  • Procedimientos de contratación de empleados que requieren la cumplimentación de un formulario de solicitud detallado para los empleados clave con acceso a datos personales significativos y en los casos permitidos por la legislación local.
  • Selección diligente del personal y de los proveedores de servicios adecuados.
  • Celebración de acuerdos de Tratamiento de datos adecuados con los Subencargados que incluyan medidas de seguridad técnicas y organizativas apropiadas.

6- Garantizar que los Datos personales estén protegidos contra la destrucción o pérdida accidental (control de disponibilidad); en particular, adoptando las siguientes medidas:

  • Pruebas frecuentes de la eficacia de las medidas de seguridad.
  • Procedimientos de copias de seguridad y sistemas de recuperación.
  • Servidores redundantes en ubicaciones separadas.
  • Sistema de alimentación ininterrumpida y unidad de alimentación auxiliar.
  • Almacenamiento remoto.
  • Vigilancia y control del clima de los servidores.
  • Implantación y actualización de software antivirus.
  • Plan de emergencia y recuperación en caso de catástrofe.

7- Garantizar que los datos recopilados para distintas finalidades o distintos responsables puedan tratarse por separado (control por separación); en particular, adoptando las siguientes medidas:

  • Acceso basado en funciones para sistemas críticos que contengan Datos personales.
  • Separación de datos de prueba y datos reales.
  • Cumplimiento de la norma de seguridad de datos del sector de las tarjetas de pago.

ANEXO III - LISTA DE SUBENCARGADOS

El Cliente podrá acceder, mediante previa solicitud, a una lista de los Subencargadoss que contratamos y el motivo por el que los contratamos.