Estos Términos de Procesamiento de Datos ("Términos DP") establecen las obligaciones y términos que se aplican al Procesamiento de Datos Personales del Cliente de conformidad con los Servicios (términos en mayúscula definidos a continuación), a partir del 24 de mayo de 2018.
1. Antecedentes
1.1 ON24 opera una plataforma de entrega de contenidos que permite a sus clientes empresariales crear, gestionar, alojar y entregar webcasts y otros contenidos, así como eventos y entornos virtuales, enviar correos electrónicos y comunicaciones a los inscritos, asistentes y otros usuarios finales, y recopilar inscripciones y otra información de los inscritos, asistentes y otros usuarios finales (la "Plataforma"). Al operar y proporcionar la Plataforma, ON24 prestará servicios a sus clientes empresariales relacionados con su uso de la Plataforma (los "Servicios"). Las presentes Condiciones de DP se aplican al Tratamiento (definido más adelante) de los Datos Personales del Cliente (definidos más adelante), en virtud de los Servicios, incluidos los Datos Personales recibidos del Espacio Económico Europeo ("EEE") y Suiza.
1.2 Estas Condiciones DP forman parte de las Condiciones Universales de ON24, y de cualquier Contrato Marco de Servicios, Contrato de Suscripción, Contrato de Servicios, Orden de Trabajo, y cualquier otro acuerdo escrito o electrónico entre ON24 y el Cliente relacionado con la compra de Servicios por parte del Cliente y la prestación de los mismos por parte de ON24, así como cualquier modificación de los mismos (colectivamente, el "Contrato", que también incluye cualquier modificación del mismo).
1.3 Estos Términos DP sustituyen a cualquier acuerdo previo de procesamiento de datos, adendas de procesamiento de datos o términos similares entre las partes. En caso de conflicto o inconsistencia entre los términos de estos Términos DP y cualquier otro término del Acuerdo, prevalecerán estos Términos DP.
2. Ejecución
De conformidad con la Sección 1.2, estos Términos DP se incorporan por referencia al Acuerdo. Estos Términos DP no necesitan ser ejecutados por separado para ser efectivos.
3. Algunas definiciones
3.1 En estas Condiciones DP, los siguientes términos tendrán el significado que se indica a continuación:
(a) "Afiliada" significa cualquier entidad que directa o indirectamente controle, sea controlada por, o esté bajo control común con la entidad sujeta. "Control" a efectos de esta definición significa la propiedad directa o indirecta o el control de más del 50% de las participaciones con derecho a voto de la entidad sujeta;
(b) "Afiliado del Cliente" significa cualquier Afiliado del Cliente que esté autorizado y/o tenga permiso para utilizar la Plataforma o los Servicios de conformidad con el Contrato;
(c) "Materiales del Cliente" se refiere a cualquier material o dato que el Cliente introduzca, recopile, gestione o cree utilizando la Plataforma, incluyendo, entre otros, diapositivas, archivos de audio, archivos de vídeo, fotografías y grabaciones generadas a partir de un Evento del Cliente.
(d) "Datos Personales del Cliente" significa cualquier Dato Personal Procesado por ON24 o un Subprocesador en la prestación de los Servicios al Cliente o a un Afiliado del Cliente, incluyendo (pero sin limitarse a) cualquier información de contacto u otra información personal identificable de Usuarios Finales de Eventos del Cliente o contenida en Materiales del Cliente;
(e) "Infracción de Datos" significa la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos Personales del Cliente transmitidos, almacenados o Procesados de cualquier otra forma por ON24 o sus Subprocesadores.
(f) "Leyes de protección de datos" se refiere a cualquier ley, norma y reglamento local, nacional o internacional relacionado con la privacidad, la seguridad, la protección de datos y/o el Procesamiento de Datos Personales, incluida la Directiva 95/46/CE de la UE, tal como se transpuso a la legislación nacional de cada Estado miembro y como se modificó, sustituyó o reemplazó de vez en cuando, incluido (a partir del 25 de mayo de 2018) por el GDPR y las leyes que implementan o complementan el GDPR;
(g) "Usuario Final" significa un asistente real y potencial, visitante y otro usuario que se haya registrado o haya asistido a uno o más Eventos del Cliente;
(h) "Evento del Cliente" significa los webcasts, webinarios, entornos virtuales y otros contenidos ofrecidos o puestos a disposición a través de la Plataforma por el Cliente o el Afiliado del Cliente;
(i) "GDPR" significa Reglamento General de Protección de Datos de la UE 2016/679;
(j) "Datos personales" es cualquier información relativa a una persona física identificada o identificable;
(k) Por "tratamiento" se entenderá cualquier operación o conjunto de operaciones que se realicen con los Datos Personales del Cliente, ya sea por medios automatizados o no, como el acceso, la recopilación, el registro, la organización, el almacenamiento, la adaptación o alteración, la recuperación, la consulta, el uso, la divulgación por transmisión, la difusión o cualquier otra forma de puesta a disposición, la alineación o combinación, el bloqueo, la devolución o la destrucción, y "tratado" o "tratamiento" se interpretarán en consecuencia;
(l) "Transferencia Restringida" significa una transferencia de Datos Personales del Cliente a o por ON24 y/o un Subprocesador, a una jurisdicción que no está reconocida como proveedora de un nivel adecuado de protección de Datos Personales por las Leyes de Protección de Datos aplicables;
(m) "Cláusulas Contractuales Tipo": las cláusulas contractuales tipo para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países que no garanticen un nivel adecuado de protección de los interesados, que hayan sido aprobadas por la Comisión Europea por ofrecer garantías adecuadas para las Transferencias Restringidas, o cualesquiera cláusulas sucesoras de las mismas o mecanismos alternativos de transferencia de datos reconocidos por la Comisión Europea de conformidad con el artículo 46 del GDPR;
(n) "Subprocesador" significa cualquier persona o entidad (incluyendo cualquier tercero y cualquier Afiliado de ON24, pero excluyendo a un empleado de ON24) designada por o en nombre de ON24 que pueda Procesar Datos Personales del Cliente;
(o) "Autoridad de Control": (a) una autoridad pública independiente establecida por un Estado miembro de conformidad con el artículo 51 del GDPR; y (b) cualquier autoridad reguladora similar responsable de la aplicación de las Leyes de Protección de Datos; y
(p) Los términos "Controlador de Datos", "Procesador de Datos", "Sujeto de Datos" y "Estado Miembro", tendrán el mismo significado que en el GDPR.
3.2 Todos los términos en mayúscula no definidos en el presente tendrán el significado establecido en el Acuerdo.
4. Tratamiento de datos personales
4.1 Las partes reconocen y acuerdan que con respecto al Tratamiento de los Datos Personales del Cliente, el Cliente es el Controlador de los Datos, y ON24 es el Procesador de los Datos.
4.2 ON24 tratará, y se asegurará de que los Subprocesadores traten, los Datos Personales del Cliente únicamente siguiendo las instrucciones documentadas del Cliente, o cuando el Tratamiento sea requerido por las leyes aplicables a las que ON24 o el Subprocesador estén sujetos.
4.3 El Cliente, en su propio nombre y como agente de cada Afiliado del Cliente pertinente, instruye a ON24 (y autoriza a ON24 a instruir a cada Subprocesador) para que, según sea razonablemente necesario para la prestación de los Servicios (incluyendo cualquier servicio adicional utilizado por el Cliente o el Afiliado del Cliente, que puede estar sujeto a términos suplementarios) (a) Procesar los Datos Personales del Cliente; (b) transferir los Datos Personales del Cliente a cualquier país o territorio, siempre y cuando se cumpla con la Sección 12 (Transferencias Transfronterizas) a continuación; y (c) contratar a cualquier Subprocesador, siempre y cuando se cumpla con la Sección 11 (Subprocesamiento) a continuación.
4.4 El Cliente acepta que ON24 pueda desidentificar los Datos Personales del Cliente y otros datos relacionados con los Servicios para convertirlos en Datos Anónimos, que podrán ser utilizados con el fin de operar y mejorar los servicios y operaciones de ON24, desarrollar nuevos servicios y ofertas, y otros fines de investigación, análisis y relacionados. ON24 podrá mantener los Datos Anónimos como parte de sus propios registros e información, y dichos datos dejarán de estar sujetos al Acuerdo o a las presentes Condiciones de DP. "Datos anónimos" se refiere a los datos que han sido desidentificados y/o agregados con otros datos hasta tal punto que el Cliente y los Afiliados del Cliente ya no son identificables, y los individuos ya no son identificados, identificables o de otro modo determinables por referencia o combinación con otros conjuntos de datos.
4.5 El Cliente acepta que (a) el envío por parte del Cliente de Datos Personales del Cliente y las instrucciones para el Procesamiento de Datos Personales cumplirán con las Leyes de Protección de Datos y el Cliente permanecerá en todo momento relevante debida y efectivamente autorizado para dar la instrucción establecida en esta Sección (Procesamiento de Datos Personales) en nombre de cada Afiliado del Cliente relevante; (b) El Cliente y cualquier Afiliado del Cliente, en el uso de los Servicios, Procesarán los Datos Personales de acuerdo con los requisitos de las Leyes de Protección de Datos; y (c) El Cliente proporcionará cualquier notificación requerida y obtendrá cualquier consentimiento requerido de los Sujetos de Datos relacionados con el Procesamiento de los Datos Personales del Cliente según lo contemplado en estos Términos DP y el Acuerdo, o según lo instruido por el Cliente.
4.6 El Anexo 1 a estos Términos DP establece el objeto y la duración del Procesamiento, la naturaleza y el propósito del Procesamiento, y las categorías de Datos Personales y Sujetos de Datos, como lo exige el Artículo 28(3) del GDPR; El Anexo 1 no confiere y derechos u obligaciones a ninguna de las partes. Cualquiera de las partes podrá introducir en el Anexo 1 las modificaciones razonables que considere necesarias para cumplir los requisitos del artículo 28, apartado 3, del GDPR, facilitando a la otra parte un Anexo 1 actualizado o adicional.
5. Personal de ON24
ON24 tomará las medidas razonables para garantizar la fiabilidad de cualquier empleado, agente o contratista que pueda tener acceso a los Datos Personales del Cliente, asegurándose de que dichas personas estén sujetas a obligaciones de confidencialidad u obligaciones profesionales o legales de confidencialidad.
6. Seguridad
ON24 implementará las medidas técnicas y organizativas apropiadas, tal y como se establece en el Anexo 2 (Medidas Técnicas y Organizativas), que están diseñadas para proporcionar un nivel de seguridad adecuado a los riesgos que presenta el Tratamiento de los Datos Personales del Cliente. A la hora de evaluar el nivel de seguridad adecuado, ON24 tendrá en cuenta, en particular, los riesgos que presenta el Tratamiento, especialmente los derivados de la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso a los Datos Personales transmitidos, almacenados o Tratados de otro modo.
7. Violación de datos personales
ON24 notificará al Cliente sin demora indebida si descubre una Vulneración de Datos que afecte a Datos Personales del Cliente, y proporcionará información (según esté disponible) para ayudar al Cliente a cumplir con cualquier obligación de informar sobre una Vulneración de Datos en virtud de las Leyes de Protección de Datos. ON24 cooperará con el Cliente y tomará las medidas razonables que las partes acuerden de buena fe para ayudar en la investigación, mitigación y reparación de cada Vulneración de Datos. En la medida en que el Cliente sea responsable de una Vulneración de Datos Personales, el Cliente reembolsará a ON24 todos los costes en los que ON24 haya incurrido de forma razonable y adecuada en el cumplimiento de sus obligaciones en virtud de la presente Sección (incluidos los costes internos y los costes de terceros, incluidos los honorarios de abogados).
8. Derechos del interesado
ON24 notificará inmediatamente al Cliente si recibe una solicitud de un Sujeto de Datos relativa a los Datos Personales del Cliente. Previa solicitud, ON24 proporcionará al Cliente la asistencia razonable que sea necesaria para el cumplimiento por parte del Cliente de sus obligaciones en virtud de la legislación aplicable para responder a las solicitudes de los Sujetos de Datos relativas a sus Datos Personales. Teniendo en cuenta la naturaleza del Tratamiento, dicha asistencia incluirá, cuando sea factible, la aplicación de medidas técnicas y organizativas razonables y adecuadas que permitan al Cliente responder eficazmente a dichas solicitudes.
9. Evaluación del impacto de la protección de datos y consulta previa
Previa solicitud y con sujeción a la naturaleza del Tratamiento pertinente por parte de ON24 y a la información de que disponga, ON24 prestará asistencia razonable al Cliente en relación con cualquier evaluación de impacto sobre la protección de datos y cualquier consulta previa a cualquier Autoridad de Control, que sean necesarias en virtud de la Ley de Protección de Datos aplicable. El Cliente reembolsará íntegramente a ON24 todos los costes en los que ON24 haya incurrido de forma razonable y adecuada en el cumplimiento de sus obligaciones en virtud de la presente Sección (incluidos los costes internos y los costes de terceros, incluidos los honorarios de abogados).
10. Derechos de auditoría
10.1 Previa solicitud por escrito del Cliente, ON24 pondrá a disposición del Cliente la información razonablemente necesaria para demostrar el cumplimiento por parte de ON24 de estas Condiciones de DP, y permitirá y contribuirá a las inspecciones de un auditor externo cualificado e independiente designado por el Cliente, en relación con el Tratamiento de los Datos Personales del Cliente por parte de ON24 o sus Subprocesadores.
10.2 El Cliente avisará a ON24 con una antelación razonable de cualquier auditoría o inspección que se vaya a realizar en virtud de esta Sección y tomará (y se asegurará de que cada uno de sus auditores encargados lo haga) todas las medidas razonables para evitar causar cualquier daño, lesión o interrupción en las instalaciones, equipos, personal y negocios de ON24 o de cualquier Subprocesador durante el transcurso de dicha auditoría. Salvo que la legislación aplicable o una Autoridad de Supervisión pertinente exija lo contrario, cualquier auditoría o inspección se llevará a cabo dentro del horario laboral normal no más de una vez por año natural. El Cliente reembolsará íntegramente a ON24 todos los costes en los que ON24 haya incurrido de forma razonable y adecuada en el cumplimiento de sus obligaciones en virtud de esta Sección (incluidos los costes internos, los costes de terceros, incluidos los honorarios legales, y los costes en los que ON24 haya incurrido con respecto a las auditorías de otros Subprocesadores). Cualquier información obtenida en virtud de esta Sección se mantendrá confidencial y no se revelará a ninguna persona sin el consentimiento expreso de ON24, y el Cliente se asegurará de que cualquier auditor, agente, personal u otra persona o entidad que participe en dicha auditoría esté sujeto a las obligaciones de confidencialidad apropiadas por escrito.
11. Subprocesamiento
11.1 El Cliente autoriza a ON24 a designar (y a permitir que cada Subprocesador designado de conformidad con esta Sección designe) Subprocesadores. El Cliente acepta expresamente que las Filiales de ON24 puedan ser contratadas como Subprocesadores, y que ON24 pueda seguir utilizando aquellos otros Subprocesadores ya contratados por ON24 a la fecha de las presentes Condiciones de DP. Antes del 25 de mayo de 2018, ON24 pondrá a disposición una lista actualizada de los Subprocesadores de ON24 en on24.com/about-us/gdpr/subprocessors, incluyendo los nombres y una descripción del Procesamiento que realizará el Subprocesador, y actualizará la lista antes de añadir cualquier Subprocesador adicional. El Cliente podrá suscribirse a notificaciones por correo electrónico de nuevos Subencargados del Tratamiento en www.on24.com/about-us/gdpr/subprocessors. ON24 notificará la designación de nuevos Subencargados del Tratamiento antes de autorizarlos a tratar Datos Personales en relación con los Servicios mediante la actualización de la lista de Subencargados del Tratamiento en www.on24.com/about-us/gdpr/subprocessors, y mediante notificación por correo electrónico si el Cliente se ha suscrito a notificaciones por correo electrónico sobre nuevos Subencargados del Tratamiento. El Cliente podrá oponerse a la designación de un nuevo Subprocesador enviando una notificación por escrito a ON24 a privacy@on24.com en un plazo de diez (10) días hábiles a partir de la notificación de nuevos Subprocesadores; la notificación de objeción del Cliente deberá indicar la base de la objeción del Cliente. El Cliente acepta que no se opondrá injustificadamente al uso de un Subprocesador. Si el Cliente no se opone a la designación del Subprocesador en el plazo de diez (10) días laborables, se considerará que el Cliente ha aprobado y aceptado dicha designación.
11.2 Las partes trabajarán de buena fe para resolver las objeciones del Cliente a la designación de cualquier Subprocesador. Durante este tiempo, puede haber un impacto en la prestación de los Servicios; el Cliente acepta que ON24 no es responsable de dicho impacto. Si las partes no consiguen resolver la objeción del Cliente en un plazo de 90 días, el Cliente podrá resolver sin penalización alguna la parte del Contrato relativa a los Servicios que ON24 declare que no puede prestar sin el uso del Subprocesador objetado, y ON24 reembolsará al Cliente cualquier cantidad prepagada pero no utilizada correspondiente a dicha parte; en caso contrario, el Contrato permanecerá en pleno vigor y efecto.
11.3 Con respecto a cada Subencargado del Tratamiento, ON24: (a) ejercerá un cuidado comercialmente razonable en la evaluación, designación y supervisión de las actividades de Tratamiento pertinentes de los Subencargados; (b) incluirá términos en el contrato entre ON24 y cada Subencargado que ofrezcan un nivel de protección de los Datos Personales del Cliente equivalente al establecido en estas Condiciones de AD, teniendo en cuenta la naturaleza de los servicios prestados por el Subencargado; (c) si el acuerdo implica una Transferencia Restringida, se asegurará de que se establezcan las medidas contractuales adecuadas tal y como exigen las Leyes de Protección de Datos, y cuando los Datos Personales del Cliente procedan del EEE o de Suiza, se incorporarán las Cláusulas Contractuales Tipo al acuerdo entre ON24 y el Subencargado del Tratamiento; y (d) seguirá siendo responsable ante el Cliente por cualquier incumplimiento por parte de cada Subencargado del Tratamiento de sus obligaciones en relación con el Tratamiento de los Datos Personales del Cliente.
12. Transferencias transfronterizas
ON24 se ha autocertificado y cumple con los Marcos del Escudo de Privacidad UE-EE.UU. y Suiza-EE.UU., administrados por el Departamento de Comercio de los Estados Unidos. ON24 mantendrá dicha autocertificación y cumplimiento de los Marcos del Escudo de Privacidad UE-EE.UU. y Suiza-EE.UU. con respecto a su Tratamiento de Datos Personales de Clientes procedentes del Espacio Económico Europeo y/o Suiza. Si y en la medida en que las certificaciones del Escudo de Privacidad de ON24 sean retiradas o expiren, los Marcos del Escudo de Privacidad UE-EE.UU. o Suiza-EE.UU. sean invalidados bajo las respectivas leyes aplicables del EEE o Suiza, ON24 ejecutará las Cláusulas Contractuales Estándar con el Cliente, o trabajará con el Cliente de buena fe para poner en marcha un mecanismo alternativo para la transferencia de los Datos Personales del Cliente relevantes a los Estados Unidos.
13. Supresión o devolución de datos personales
A la terminación o expiración del Contrato (a menos que la continuación del Tratamiento esté sujeta a un acuerdo nuevo o modificado) y en la medida en que no lo prohíba la legislación aplicable, ON24 cesará en un plazo de 90 días (la "Fecha de Cese") el Tratamiento y borrará o devolverá los Datos Personales del Cliente. Si el Cliente no informa a ON24 de su elección de devolución o eliminación de dichos Datos Personales del Cliente al menos 30 días antes de la Fecha de Cese, se considerará que el Cliente ha elegido la eliminación. Las partes acuerdan que ON24 no está obligada a devolver o borrar ningún Dato Anónimo a la conclusión del Contrato.
14. Limitación de responsabilidad
La responsabilidad total de ON24 derivada o relacionada con estas Condiciones de AD, ya sea contractual, extracontractual o bajo cualquier otra teoría de responsabilidad, está sujeta a las limitaciones de responsabilidad del Acuerdo.
15. Condiciones generales
15.1 Ausencia de asesoramiento jurídico. A pesar de cualquier disposición en contrario en estos Términos DP, ON24 no estará obligado a proporcionar asesoramiento jurídico al Cliente y nada de lo proporcionado por ON24 será interpretado por el Cliente como asesoramiento jurídico.
15.2 Terminación. Las partes acuerdan que estas Condiciones de AD y las Cláusulas Contractuales Tipo terminarán automáticamente en el momento en que: (a) se rescinda el Contrato; o (b) expiren o finalicen todos los contratos de servicios suscritos por ON24 con el Cliente en virtud del Contrato; o (iii) finalicen o terminen las declaraciones de trabajo, órdenes de trabajo o documentos similares, en virtud del mismo, lo que ocurra más tarde.
15.3 Cambios en las Leyes de Protección de Datos. Si se requiere alguna variación a estos Términos DP (incluyendo las Cláusulas Contractuales Estándar) como resultado de un cambio en la Ley de Protección de Datos, cualquiera de las partes podrá notificar por escrito a la otra parte de dicho cambio en la ley. Las partes discutirán y negociarán de buena fe cualquier variación necesaria de estos Términos DP para abordar dichos cambios.
ANEXO 1: DETALLES DEL TRATAMIENTO DE LOS DATOS PERSONALES DE LOS CLIENTES
Este Anexo 1 incluye ciertos detalles sobre el Tratamiento de los Datos Personales de los Clientes, tal y como exige el apartado 3 del artículo 28 del GDPR.
1. Objeto y duración del Tratamiento de los Datos Personales del Cliente:
El objeto y la duración del Tratamiento de los Datos Personales del Cliente se establecen en el Acuerdo y en las presentes Condiciones DP.
2. Las categorías de Sujetos de Datos a los que se refieren los Datos Personales del Cliente
3. La naturaleza y la finalidad del tratamiento de los datos personales del cliente:
4. Los tipos de datos personales de los clientes que se tratarán
ANEXO 2: MEDIDAS TÉCNICAS Y ORGANIZATIVAS
