ANEXO 1

Adenda al Tratamiento de Datos (DPA) de conformidad con el artículo 28, párrafo 3, del RGPD

Última actualización: 5 de julio de 2018

Esta Adenda al Tratamiento de Datos (DPA, por sus siglas en inglés) regirá la transmisión, la recogida, la destrucción y el tratamiento de Datos Personales entre SMART Technologies ULC (en lo sucesivo, "SMART") y:

  • cualquier cliente (en lo sucesivo, el "Cliente") que instale o utilice hardware, software o servicios de SMART (en lo sucesivo, los "Servicios");
  • una parte sujeta al Acuerdo de Licencia de Usuario Final de SMART (en lo sucesivo, el "EULA");
  • una parte sujeta a un acuerdo distinto del EULA para el suministro de productos o la prestación de servicios de SMART (en lo sucesivo, denominado de manera conjunta, el "Acuerdo") al Cliente o a los Usuarios del Cliente (tanto SMART como cada uno de los clientes se denominarán en lo sucesivo una "Parte" de manera individual y las "Partes" de manera conjunta).

Por el presente documento, las Partes aceptan los siguientes términos y condiciones, que entrarán en vigor en la fecha más temprana de las siguientes:

(i) la Fecha de Entrada en Vigor del Acuerdo entre las Partes

O

(ii) la fecha de la primera transmisión o revelación de los Datos Personales por parte del Cliente o de los Usuarios del Cliente a SMART (en lo sucesivo, la "Fecha de Entrada en Vigor").

Cualquier término en mayúscula que no se haya definido en el presente documento tendrá el significado que se le haya atribuido en el Acuerdo.

1. DEFINICIONES

1.1. Usuarios del Cliente hace referencia a cualquier persona física que use los Servicios o acceda a ellos en nombre del Cliente o con su autorización, incluidos, entre otros, empleados, clientes, usuarios finales, contratistas, alumnos y profesores.

1.2. Datos se aplica tanto a Datos Personales como a Datos No Personales.

1.3. El término Responsable del Tratamiento tendrá el mismo significado establecido en el RGPD; en este contexto, hace referencia al Cliente.

1.4. El término Encargado del Tratamiento tendrá el mismo significado establecido en el RGPD; en este contexto, hace referencia a SMART.

1.5. RGPD hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

1.6. Por Datos No Personales, se entiende cualquier tipo de datos o de información en relación con un Cliente o los Usuarios del Cliente, y que no hacen referencia a Datos Personales.

1.7. Los términos Datos Personales, Tratamiento y Categorías Especiales de Datos Personales tendrán el mismo significado establecido en los términos del RGPD.

1.8. Servicios hace referencia al suministro de productos o a la prestación de servicios por parte de SMART a un Cliente en virtud de un Acuerdo.

1.9. Por Subencargado del Tratamiento, se entiende cualquier Encargado del Tratamiento que haya contratado SMART en relación con el Tratamiento de Datos Personales en nombre de un Cliente.

1.10. El término UE hace referencia a la Unión Europea, mientras que EEE se corresponde con el Espacio Económico Europeo.

2. LA PRESENTE DPA SE APLICA A DATOS PERSONALES TRATADOS POR SMART EN NOMBRE DEL CLIENTE. EN ESTE CONTEXTO, SMART ACTÚA COMO ENCARGADO DEL TRATAMIENTO PARA EL CLIENTE, QUE ES EL RESPONSABLE DEL TRATAMIENTO CON RESPECTO AL TRATAMIENTO DE LOS DATOS DEL CLIENTE Y DE LOS USUARIOS DEL CLIENTE.

La presente DPA se aplica a los Datos del Cliente tratados por SMART. En este contexto, SMART actúa como Encargado del Tratamiento para el Cliente, que es el Responsable del Tratamiento con respecto a los Datos del Cliente y de los Usuarios del Cliente.

2.1. Las Partes acuerdan y declaran que los Datos Personales son necesarios para Tratarse de manera lícita, imparcial y transparente, y que deben:

  • recogerse con fines específicos, explícitos y legítimos;
  • ser adecuados y relevantes, y limitarse a lo estrictamente necesario en relación con los fines para los que se Tratan los Datos Personales;
  • ser precisos y, según sea necesario, mantenerse actualizados;
  • conservarse en un formato que permita su identificación durante el tiempo máximo necesario según los fines para los que se Tratan los Datos Personales.

2.2. Al prestar Servicios a un Cliente, este podrá revelar Datos Personales a SMART de manera ocasional relacionados con el Cliente o los Usuarios del Cliente.

2.3. El Cliente solo subirá, transmitirá, Tratará o revelará Datos Personales de acuerdo con los términos y condiciones especificados en el presente documento y según lo permitido por la legislación aplicable. Si el Cliente considera que cualquier subida, Tratamiento, transmisión o revelación de los Datos Personales no es conforme con las disposiciones del presente documento, deberá ponerlo en conocimiento de SMART.

2.4. SMART Tratará los Datos Personales de los Usuarios del Cliente. El nombre de estos Usuarios depende del tipo de organización que es el Cliente. Por ejemplo, si el Cliente es una empresa, los interesados serán los empleados de dicha organización.

2.5. SMART Tratará las siguientes categorías de Datos Personales:

  • datos de Usuarios del software, incluidos resultados de evaluaciones, contenido generado por el usuario, afiliación a clases, datos sobre fallos, ID y nombre del distrito, dirección IP (si no se ha anonimizado por el usuario), nombre de la escuela, nombre de la reunión o clase elegido por el usuario, nombre de usuario, sistema operativo y tipo de dispositivo del alumno, correo electrónico del alumno, nombre del alumno, dirección de correo electrónico del profesor/administrador y nombre del profesor;
  • datos de Usuarios del hardware, incluidos el número de modelo, el sistema operativo y su versión, la información detallada sobre la versión de la aplicación, la marca (SMART), el navegador utilizado y la información basada en la dirección IP (ciudad, país, región, PPP de la pantalla, ancho y altura de la pantalla, y marca de tiempo).

2.6. SMART Tratará Datos Personales con los siguientes fines:

  • prestar los Servicios establecidos en el Acuerdo a los Usuarios del Cliente, incluidos servicios de mantenimiento y actualizaciones;
  • ponerse en contacto con los Usuarios del Cliente en relación con los Servicios;
  • autenticar a los Usuarios del Cliente;
  • proteger la seguridad o la integridad de los Servicios, y tomar precauciones contra la responsabilidad legal;
  • cumplir el Acuerdo y ejercer los derechos y las obligaciones de SMART con arreglo al mismo, siempre y cuando dicho Tratamiento se permita en virtud de las leyes aplicables.

2.7. El Cliente no subirá, Tratará, transmitirá, revelará o facilitará a SMART de ninguna otra forma cualquiera de los Datos Personales incluidos en las Categorías Especiales de Datos Personales.

2.8. Sin perjuicio de los requisitos legales y fiscales, SMART y sus Subencargados del Tratamiento suprimirán o devolverán todos los Datos Personales que se hayan Tratado en nombre del Cliente previa petición o dentro de un plazo comercialmente razonable tras la rescisión o el vencimiento del Acuerdo o de los Servicios.

2.9. SMART conservará los Datos Personales durante el tiempo necesario para:

  1. cumplir los objetivos del Tratamiento que se describen en el presente documento;
  2. realizar cualquier otra acción permitida por la ley aplicable.

2.10. Por el presente documento, el Cliente autoriza a SMART a Tratar en su nombre Datos Personales transmitidos o revelados a SMART por el Cliente o los Usuarios del Cliente en relación con los Servicios.

2.11. SMART utiliza cookies o tecnologías similares para recoger Datos. Por el presente documento, el Cliente indica explícitamente a SMART que utilice cookies y tecnologías similares en relación con la prestación de los Servicios.

2.12. El Cliente podrá indicar a SMART que deje de Tratar sus Datos Personales en cualquier momento. No se realizarán reembolsos por los Servicios si estos ya no pueden prestarse como resultado del cese del Tratamiento de los Datos.

2.13. SMART tratará Datos Personales únicamente según las instrucciones documentadas del Cliente. Las disposiciones establecidas en la presente DPA, los Términos, el Acuerdo y aquello que puedan acordar las Partes de cualquier otra forma constituirán las instrucciones documentadas del Cliente a SMART con arreglo al significado otorgado en el artículo 28 del RGPD.

3. SUBTRATAMIENTO

3.1. Siempre y cuando los Subencargados del Tratamiento cumplan el RGPD, por el presente documento, el Cliente autoriza expresamente a SMART para que contrate a Subencargados del Tratamiento para la prestación de los Servicios. SMART informará al Cliente a su debido tiempo antes de autorizar a un nuevo Subencargado del Tratamiento, y el Cliente podrá oponerse a la autorización con motivos razonables. En el Anexo 1, se incluye una lista de los Subencargados del Tratamiento que ha contratado SMART actualmente para llevar a cabo actividades de Tratamiento específicas. El Cliente otorga su autorización expresa para la contratación de los Subencargados del Tratamiento indicados en el Anexo 1.

3.2. Si SMART autoriza a un Subencargado del Tratamiento:

  • SMART restringirá el acceso del Subencargado del Tratamiento a los Datos del Cliente únicamente a lo estrictamente necesario para mantener las ofertas del Servicio y prestar los Servicios al Cliente y a cualquiera de los Usuarios del Cliente. SMART prohibirá el acceso del Subencargado del Tratamiento a los Datos del Cliente para cualquier otro fin.
  • SMART celebrará un acuerdo por escrito con el Subencargado del Tratamiento e impondrá a este último las mismas obligaciones de protección de Datos que se estipulan en esta DPA, en particular, otorgar las garantías suficientes para implantar medidas técnicas y organizativas adecuadas de tal forma que el Tratamiento cumpla los requisitos del RGPD.
  • SMART seguirá siendo responsable del cumplimiento de las obligaciones de esta DPA y de cualquier acto u omisión del Subencargado del Tratamiento que provoque la infracción por parte de SMART de cualquiera de sus obligaciones en virtud de la presente DPA.

4. TRANSMISIONES INTERNACIONALES DE DATOS

4.1. El Cliente reconoce que SMART es una empresa internacional, que los Datos Personales se almacenarán en la jurisdicción local del Cliente y que se transmitirán a Canadá y Estados Unidos. La Comisión Europea ha reconocido Canadá como un país que ofrece una protección adecuada. Las organizaciones de los Estados Unidos de América certificadas con arreglo al Escudo de privacidad entre la UE y EE. UU. también se han reconocido como entidades que proporcionan un nivel adecuado de protección de datos y, por tanto, podrán recibir Datos Personales sin medidas de protección adicionales.

4.2. Si SMART transmite Datos Personales a cualquier otro tercer país fuera de la UE/EEE, utilizará medidas de protección adecuadas para garantizar un nivel de seguridad apropiado para los riesgos de destrucciones accidentales o ilícitas, pérdidas, alteraciones, revelaciones no autorizadas de los Datos Personales transmitidos, o accesos a los mismos, y que se corresponda con el nivel de seguridad dentro de la UE/EEE. Entre estas medidas, se incluye la suscripción de las Cláusulas Contractuales Tipo publicadas por la Comisión Europea.

4.3. El Cliente será el único responsable de obtener y documentar todos los consentimientos necesarios de los Usuarios del Cliente para transmitir sus Datos Personales.

5. DERECHOS DE LOS INTERESADOS

5.1. SMART ayudará al Cliente a cumplir las solicitudes del interesado de conformidad con el capítulo III del RGPD: previa petición del Cliente a SMART mediante una llamada telefónica al número +1 (888) 427-6278, SMART prestará al Cliente la asistencia requerida. Esto permitirá que el Cliente compruebe y corrija (si es necesario), suprima, reciba y bloquee los Datos Personales del Cliente registrados en SMART, al menos treinta (30) días después de la recepción de dicha solicitud. En caso de que los Datos Personales no sean correctos o no estén actualizados, el Cliente podrá actualizar y corregir dichos datos facilitando a SMART la información adecuada.

5.2. En la medida aplicable al Cliente y a los Servicios, el Cliente podrá solicitar la portabilidad de sus Datos Personales.

5.3. El Cliente será el único responsable de cumplir las obligaciones relacionadas con los derechos y las libertades de los Usuarios del Cliente en virtud del capítulo III del RGPD o de otras leyes aplicables. SMART ayudará al Cliente de la forma descrita en el apartado 5.1.

5.4. Las Partes acuerdan que SMART no deberá tramitar las solicitudes e instrucciones remitidas por los Usuarios del Cliente, ni responder a las mismas. En caso de que SMART reciba una solicitud directa de los Usuarios del Cliente o de cualquier otro interesado, la única responsabilidad de SMART será comunicar dichas solicitudes o instrucciones al Cliente, quien, a continuación, podrá presentar una solicitud formal a SMART, tal como se describe en el apartado 5.1.

5.5. SMART realizará los esfuerzos comerciales razonables para ayudar al Cliente —adoptando medidas técnicas y organizativas adecuadas, siempre que sea posible— a cumplir sus obligaciones de responder a las solicitudes para el ejercicio de los derechos de los Usuarios del Cliente en virtud de las leyes aplicables.

6. DATOS NO PERSONALES

6.1. SMART solo recogerá Datos Personales relacionados con los Usuarios del Cliente que este último haya proporcionado a SMART mediante su colaboración con SMART para la prestación de los Servicios.

6.2. En lo que respecta a los Datos No Personales y a los Datos anonimizados, el Cliente acepta que SMART dispone de derechos ilimitados sobre dicha información y que podrá utilizar tal información sin límites.

6.3. Los Datos No Personales se recogen y Tratan principalmente con fines de análisis comercial, y para mejorar y mantener constantemente los Servicios, incluidos, entre otros propósitos, garantizar el funcionamiento técnico de los Servicios de SMART para intentar evitar el uso fraudulento de los mismos y desarrollar nuevos Servicios y productos.

7. NOTIFICACIONES

7.1. Si SMART tiene conocimiento de una violación de los Datos Personales, informará —sin demoras injustificadas y, si es posible, a más tardar setenta y dos (72) horas después de ser consciente de dicha infracción— al Cliente afectado, a menos que no resulte probable que la violación de los Datos suponga un riesgo para los derechos y las libertades de las personas físicas. SMART también asumirá medidas razonables para mitigar los efectos y minimizar cualquier daño derivado de una violación de los Datos Personales.

7.2. La comunicación de una violación de Datos de SMART deberá utilizar un lenguaje sencillo y claro, y contener al menos:

  • la información de contacto del Delegado de Protección de Datos o de otra persona de contacto;
  • una descripción de la naturaleza de la violación;
  • las posibles consecuencias de la violación;
  • asesoramiento sobre las medidas que los interesados pueden tomar para protegerse a sí mismos;
  • las medidas que SMART ha adoptado o ha propuesto implantar para abordar la violación.

7.3. SMART podrá revelar Datos a las autoridades de aplicación de la ley, a los organismos reguladores o a otras agencias gubernamentales, así como a terceros, si considera de manera razonable que dicha divulgación es necesaria para cumplir un procedimiento judicial, una orden judicial o un proceso legal, siempre y cuando SMART informe al Cliente por escrito con respecto a cualquier solicitud legalmente vinculante para la revelación de Datos Personales por parte de una autoridad de aplicación de la ley, a menos que se prohíba de cualquier otra forma como, por ejemplo, la prohibición en virtud del derecho penal de preservar la confidencialidad de una investigación relativa a la aplicación de la ley.

8. DECLARACIONES Y COMPROMISOS DE LAS PARTES

8.1. En relación con la transmisión, el Tratamiento o la revelación de Datos Personales por parte del Cliente y de los Usuarios del Cliente, y con cualquier Tratamiento de dichos Datos Personales por parte de SMART, las Partes acuerdan y declaran por el presente documento que:

  • el Cliente se considerará el Responsable del Tratamiento de todos los Datos Personales y asumirá de forma exclusiva y plena todos los compromisos, obligaciones y responsabilidades impuestos sobre el Cliente como Responsable del Tratamiento de los Datos Personales en virtud del RGPD;
  • SMART se considerará el Encargado del Tratamiento de dichos Datos Personales y asumirá de forma exclusiva y plena todos los compromisos, obligaciones y responsabilidades impuestos sobre SMART como Encargado del Tratamiento de los Datos Personales en virtud del RGPD.

8.2. En su calidad de Responsable del Tratamiento, el Cliente acepta que será responsable de informar a los Usuarios del Cliente de manera clara y explícita del Tratamiento de sus Datos Personales, incluido el Tratamiento por parte de SMART, en virtud de la colaboración del Cliente con SMART y de conformidad con la misma. Asimismo, el Cliente declara que dispone de todas las autorizaciones requeridas para revelar Datos Personales a SMART en virtud de la presente DPA y del Acuerdo.

8.3. Cada una de las Partes implantará medidas técnicas y organizativas adecuadas en virtud del artículo 32 del RGPD para garantizar un nivel de seguridad apropiado para los riesgos asociados a destrucciones accidentales o ilícitas, pérdidas, alteraciones, revelaciones no autorizadas de los Datos Personales, o accesos a los mismos.

8.4. SMART facilitará al Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones estipuladas en el artículo 28 del RGPD y permitirá auditorías, y contribuirá a las mismas, incluidas inspecciones, llevadas a cabo por el Cliente u otro auditor encargado por el Cliente a expensas de este. La información necesaria para demostrar el cumplimiento podrá proporcionarse en forma de certificaciones de terceros independientes. SMART podrá, a su entera discreción, facilitar la información necesaria para demostrar el cumplimiento proporcionando documentos y certificaciones adecuados emitidos por organismos independientes (por ejemplo, contables colegiados, auditores de protección de datos o auditores de seguridad de TI), en lugar de mediante una inspección. Si el Cliente desea llevar a cabo una inspección por cuenta propia o a través de un auditor:

  1. el Cliente y SMART deberán acordar un fecha específica para la inspección;
  2. el Cliente deberá correr con todos los costes y gastos que puedan surgir por parte de SMART a causa de la inspección;
  3. el Cliente o su auditor estarán obligados estrictamente a mantener la confidencialidad en lo que respecta a toda la información relevante para los intereses comerciales de SMART.

8.5. SMART mantendrá un programa de seguridad de la información (incluidas la adopción y la aplicación de políticas y procedimientos internos) diseñado para:

  1. satisfacer los requisitos del RGPD;
  2. identificar riesgos razonablemente previsibles e internos para la seguridad y el acceso no autorizado a la red de SMART;
  3. minimizar riesgos de seguridad, incluido a través de pruebas periódicas y la evaluación del riesgo.

SMART ha designado a uno o a varios empleados para coordinar la seguridad de la información de SMART y responsabilizarse al respecto. SMART lleva a cabo revisiones periódicas de la seguridad de su red y de la idoneidad de su programa de seguridad de la información comparándolo con los estándares de seguridad de la industria y con sus políticas y procedimientos. SMART evalúa continuamente la seguridad de su red y de sus Servicios para determinar si se necesitan medidas de seguridad adicionales o diferentes para responder a nuevos resultados o riesgos de seguridad generados a raíz de las revisiones.

8.6. SMART declara y garantiza que los empleados, contratistas o agentes de SMART, así como los Subencargados del Tratamiento autorizados por este para Tratar Datos Personales en nombre del Cliente, están sujetos a obligaciones contractuales adecuadas.

8.7. SMART garantiza que sus empleados y otras personas autorizadas a Tratar Datos Personales se han comprometido a mantener la confidencialidad o están sujetos a una obligación normativa de confidencialidad adecuada.

8.8. SMART ayudará al Cliente a garantizar el cumplimiento de las obligaciones en virtud de los artículos del 32 al 36 del RGPD, teniendo en cuenta su función como Encargado del Tratamiento.

8.9. SMART solo Tratará Datos Personales en nombre del Cliente y en virtud de las instrucciones establecidas en el presente documento, con arreglo al Acuerdo o según acuerden las Partes de cualquier otra forma. SMART informará inmediatamente al Responsable del Tratamiento si, en su opinión, una instrucción infringe el RGPD u otra disposición en materia de protección de datos de la UE o de un Estado miembro de la UE.

8.10. Las Partes Tratarán los Datos Personales únicamente de manera lícita y de conformidad con la ley aplicable, incluido el RGPD.

8.11. El uso del Cliente de los Servicios cumplirá todas las leyes aplicables.

9. VIGENCIA

9.1. La vigencia de la presente DPA comenzará en la Fecha de Entrada en Vigor y continuará hasta la rescisión o el vencimiento del Acuerdo aplicable.

10. TÉRMINOS GENERALES

10.1. En caso de que surjan incoherencias entre las disposiciones de la presente DPA y el Acuerdo, las disposiciones de esta DPA prevalecerán con respecto a las obligaciones de protección de la privacidad y de los Datos de las Partes.

10.2. SMART acepta depositar una copia de la presente DPA ante la autoridad de control si así se le solicita o si dicha entrega se requiere en virtud de la ley de protección de datos aplicable.

10.3. Las Partes reconocen que las autoridades de control responsables tienen derecho a llevar a cabo una auditoría de las Partes.

10.4. Si cualquiera de las disposiciones de la presente DPA se considera inaplicable o inválida por cualquier tribunal competente, dicha disposición se limitará al mínimo necesario para que esta DPA siga en vigor.

10.5. La presente DPA se regirá e interpretará con arreglo a las mismas leyes que las del Acuerdo. Cualquier queja en virtud de la presente DPA solo podrá presentarse ante los tribunales competentes, tal como se especifica en el Acuerdo.