El presente apéndice sobre el tratamiento de datos ("APD") forma parte del contrato entre la parte identificada en el mismo ("Cliente") y FaceFirst, y se aplica si FaceFirst trata datos personales en nombre del Cliente durante la prestación de los servicios. Esta APD no se aplica cuando FaceFirst es el Controlador. Todos los términos en mayúsculas utilizados pero no definidos en la presente DPA tendrán el significado establecido en el Acuerdo.
1. PROCESAMIENTO
1.1 Papel de las partes. FaceFirst tratará los datos personales en virtud del contrato únicamente como encargado del tratamiento que actúa por cuenta del cliente. El cliente podrá actuar como responsable o como encargado del tratamiento de los datos personales.
1.2 Tratamiento de datos personales por parte del cliente. El uso que haga el Cliente del Software y las instrucciones de tratamiento deberán cumplir las leyes de protección de datos, y el Cliente deberá obtener todos los derechos y autorizaciones necesarios para que FaceFirst pueda tratar los Datos Personales en virtud del Contrato.
1.3 Tratamiento de datos personales por parte de FaceFirst. FaceFirst deberá cumplir las leyes de protección de datos aplicables a la prestación de los servicios y tratará los datos personales de acuerdo con las instrucciones documentadas del cliente. El Cliente acepta que el Contrato constituye sus instrucciones completas y definitivas a FaceFirst en relación con el tratamiento de los Datos Personales. El tratamiento de datos personales fuera del ámbito del contrato requiere un acuerdo previo por escrito entre FaceFirst y el cliente, y puede conllevar costes adicionales. El cliente podrá rescindir el contrato previa notificación por escrito si FaceFirst rechaza o no puede aceptar cualquier modificación razonable de las instrucciones de tratamiento que (a) sean necesarias para permitir al cliente cumplir las leyes de protección de datos, y (b) las partes no hayan podido acordar tras conversaciones de buena fe.
1.4 Tratamiento de datos personales.
1.4.1 Objeto. El objeto del tratamiento en virtud del Contrato son los Datos Personales, en particular las imágenes que contengan clientes, pero también cualquier otro Dato Personal facilitado a FaceFirst por el Cliente.
1.4.2 Duración. La duración de la tramitación en virtud del Contrato la determina el Cliente y se establece en el Contrato.
1.4.3 Finalidad. La finalidad del tratamiento en virtud del Acuerdo es la prestación de los Servicios por parte de FaceFirst al Cliente, tal y como se especifica en el Acuerdo.
1.4.4 Naturaleza del tratamiento. FaceFirst y sus subprocesadores prestan servicios y cumplen las obligaciones contractuales con el cliente descritas en el contrato. Estos servicios pueden incluir el tratamiento de datos personales por parte de FaceFirst y sus subprocesadores.
1.4.5 Categorías de interesados. El Cliente determina los sujetos de los datos, que pueden incluir consumidores, empleados, contratistas, proveedores y otros terceros del Cliente.
1.4.6 Categorías de datos. El Cliente controla las categorías de Datos Personales que envía a los Servicios.
2. SUBPROCESADO.
2.1 Uso de subprocesadores. El cliente autoriza a FaceFirst a contratar a subencargados del tratamiento de datos personales para prestar los servicios. FaceFirst es responsable de los actos, errores u omisiones de sus subprocesadores en la misma medida en que FaceFirst sería responsable si prestara los servicios directamente en virtud de los términos del contrato.
2.2 Obligaciones. FaceFirst celebrará un acuerdo por el que se exija a cada subencargado del tratamiento que procese los datos personales de forma sustancialmente similar a las normas de la DPA y, como mínimo, al nivel exigido por la ley de protección de datos.
2.3 Aviso. La lista de subprocesadores de FaceFirst está disponible previa solicitud por escrito.
2.4 Cambios en los subprocesadores. FaceFirst notificará previamente al cliente cualquier nuevo subencargado del tratamiento. Si el cliente se opone a un nuevo subencargado del tratamiento por motivos razonables de protección de datos en un plazo de 10 días a partir de la recepción de la notificación, FaceFirst tratará de buena fe dichas objeciones con el cliente con vistas a alcanzar una solución.
3. MEDIDAS DE SEGURIDAD.
3.1 Medidas de seguridad por parte de FaceFirst. FaceFirst aplicará y mantendrá las medidas de seguridad técnicas y organizativas adecuadas diseñadas para proteger contra las violaciones de los datos personales de conformidad con el acuerdo.
3.2 Medidas de seguridad por parte del Cliente. El Cliente deberá aplicar las medidas técnicas y organizativas adecuadas en su uso y configuración del Software.
3.3 Personal. FaceFirst prohíbe a su personal el tratamiento de datos personales sin autorización (salvo que lo exija la legislación aplicable). Toda persona autorizada por FaceFirst a tratar Datos personales está sujeta a obligaciones de confidencialidad.
4. RESPUESTA A LA VIOLACIÓN DE DATOS PERSONALES.
En cuanto tenga conocimiento de una violación de datos personales, FaceFirst lo notificará al cliente sin demora indebida y le facilitará información relativa a la violación de datos personales en la medida en que el cliente lo solicite razonablemente. FaceFirst se esforzará razonablemente por ayudar al cliente a mitigar, en la medida de lo posible, los efectos adversos de cualquier violación de datos personales.
5. SUPRESIÓN DE DATOS PERSONALES.
Tras el vencimiento o la rescisión del contrato, FaceFirst eliminará o devolverá al cliente todos los datos personales en la medida de lo posible, tal y como se establece en el contrato. Si la ley aplicable exige a FaceFirst que conserve los datos personales, FaceFirst aplicará medidas razonables para evitar su tratamiento posterior. Los términos de la presente DPA seguirán aplicándose a los datos personales conservados.
6. COOPERACIÓN.
6.1 Solicitudes del interesado. Si FaceFirst recibe solicitudes de personas que deseen ejercer sus derechos en relación con los datos personales tratados en virtud del contrato (una "solicitud"), FaceFirst redirigirá inmediatamente la solicitud al cliente en la medida en que se sepa que la persona es titular de datos del cliente. FaceFirst no responderá directamente a la solicitud a menos que el cliente lo autorice o lo exija la ley. El cliente podrá responder a las solicitudes a través de los servicios. Si el Cliente necesita ayuda, solicitará la cooperación razonable de FaceFirst, que FaceFirst le proporcionará, a expensas del Cliente.
6.2 DPIA y consultas previas. Si así lo exige la ley de protección de datos, FaceFirst, con un preaviso razonable y a expensas del cliente, proporcionará la información razonablemente solicitada en relación con los servicios para que el cliente pueda llevar a cabo evaluaciones de impacto sobre la protección de datos ("DPIA") y consultas previas con las autoridades de protección de datos.
6.3 Solicitudes legales de divulgación. Si FaceFirst recibe una solicitud válida de divulgación de datos personales que estén sujetos a la presente APD, dicha solicitud se abordará de conformidad con el Acuerdo.
7. GENERAL.
7.1 Relación con el Acuerdo. Cualquier reclamación presentada en virtud del presente APD estará sujeta a los términos del Acuerdo (incluidas sus exclusiones y limitaciones).
7.2 Conflictos. En caso de conflicto entre el presente APD y cualquier disposición del Acuerdo, prevalecerán los términos del presente APD.
7.3 Actualizaciones de la DPA. FaceFirst podrá actualizar la presente APD: (a) si así lo exige una autoridad de protección de datos u otra entidad gubernamental o reguladora; o (b) para cumplir con la ley de protección de datos. FaceFirst podrá además intercambiar, adoptar o actualizar sus mecanismos de transferencia de datos o de cumplimiento, siempre que estén reconocidos por la Ley de protección de datos. La APD modificada entrará en vigor cuando se publique en el sitio web de FaceFirst o según se disponga de otro modo en el Acuerdo.
8. DEFINICIONES.
Por acuerdo se entiende el acuerdo escrito o electrónico entre el cliente y FaceFirst para la prestación de servicios al cliente.
Responsable del tratamiento significa una entidad que determina los fines y los medios del tratamiento de Datos Personales.
Ley de Protección de Datos significa todas las leyes de protección de datos y privacidad aplicables al tratamiento de Datos Personales en relación con los Servicios.
Por Datos Personales se entiende cualquier información relativa a una persona física identificada o identificable contenida en los Datos del Cliente.
Por violación de los Datos Personales se entiende una violación de la seguridad de los Servicios que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión o el acceso no autorizados a los Datos Personales.
Encargado del tratamiento significa una entidad que procesa Datos Personales en nombre de un Responsable del tratamiento. Servicios significa, a efectos de la presente DPA, cualquier Servicio en la nube o Servicios prestados por FaceFirst al Cliente en virtud del Acuerdo.
Servicios significa los Servicios de Apoyo prestados en virtud del Contrato.
Subencargado del tratamiento se refiere a cualquier encargado del tratamiento contratado por FaceFirst o cualquier miembro de su grupo de empresas que trate datos personales en virtud del contrato. Los subencargados del tratamiento pueden ser terceros o cualquier miembro del grupo de empresas de FaceFirst.
Condiciones suplementarias CCPA
En la medida en que la Ley de Privacidad del Consumidor de California de 2018, en su versión modificada, Cal. Civ. Code § 1798.100 et seq. ("CCPA") se aplica a los Datos personales que el Cliente revela a FaceFirst con un "fin comercial" y cuando FaceFirst actúa como "proveedor de servicios" del Cliente en virtud del Acuerdo, tal como se definen dichos términos en la CCPA, se aplican los siguientes términos complementarios:
