Apéndice sobre el tratamiento de datos

  1. Definiciones
    En el presente Apéndice sobre el tratamiento de datos, “RGPD” hace referencia al Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) y “Controlador”, “Procesador de datos”, “Persona interesada”, “Datos personales”, “Vulneración de la seguridad de los datos personales” y “Tratamiento” tienen los mismos significados que se definen en el RGPD. “Tratado/a(s)” y “Tratar” deberán interpretarse según la definición de “Tratamiento”. El resto de los términos definidos en el presente documento deberán tener los mismos significados que se definen en otras partes de este Acuerdo.
  2. Tratamiento de datos
    1. Al llevar a cabo sus actividades como Procesador en virtud del presente Acuerdo con relación a cualquier Dato personal en tus datos “Tus datos personales”), Facebook confirma que:
      1. la duración, el tema, la naturaleza y la finalidad del Tratamiento deberán ser los especificados en el Acuerdo;
      2. los tipos de Datos personales Tratados incluirán los que se especifiquen en la definición de Tus datos;
      3. las categorías de las Personas interesadas incluyen a tus representantes, Usuarios y cualquier otra persona identificada con Tus datos personales o que se pueda identificar mediante estos; y
      4. tus obligaciones y derechos como Controlador de datos con relación a Tus datos personales se establecen en el presente Acuerdo.
    2. En la medida en que Facebook Trate Tus datos personales conforme al presente Acuerdo o en relación con este, Facebook deberá:
      1. Tratar Tus datos personales únicamente conforme a tus instrucciones como se establece en el presente Acuerdo, incluido todo lo relacionado con la transferencia de Tus datos personales, sujeta a cualquiera de las excepciones que se permiten en el artículo 28(3)(a) del RGPD;
      2. garantizar que los empleados de Facebook autorizados para Tratar Tus datos personales conforme a este Acuerdo se hayan comprometido a respetar la confidencialidad o estén sujetos a una obligación legal de confidencialidad adecuada en relación con Tus datos personales;
      3. implementar las medidas técnicas y organizativas que se establecen en el Apéndice sobre la seguridad de los datos;
      4. cuando se designen sub-Procesadores, respetar las condiciones a las que se hace referencia en las secciones 2.c y 2.d incluidas más adelante en este Apéndice sobre el tratamiento de datos;
      5. prestarte asistencia con medidas técnicas y organizativas apropiadas, siempre que sea posible a través de Workplace, para que puedas cumplir tu obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de las Personas interesadas conforme a lo establecido en el capítulo III del RGPD;
      6. ayudarte a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del Tratamiento y la información a disposición de Facebook;
      7. cuando finalice el Acuerdo, eliminar los Datos personales de conformidad con el Acuerdo, a no ser que la legislación de la Unión Europea o de un Estado Miembro requiera que se conserven dichos datos;
      8. poner a tu disposición la información descrita en este Acuerdo y a través de Workplace para cumplir la obligación de Facebook de facilitar toda la información necesaria para demostrar que se cumplen las obligaciones de Facebook conforme al artículo 28 del RGPD; y
      9. una vez al año, convocar a un auditor externo elegido por Facebook para que lleve a cabo una auditoría SOC 2 tipo II u otra auditoría estándar del sector de los controles de Facebook relacionados con Workplace. Por la presente, este auditor externo deberá recibir tu autorización. Si lo solicitas, Facebook te proporcionará una copia del informe de la auditoría vigente en ese momento. Dicho informe se considerará Información Confidencial de Facebook.
    3. Autorizas a Facebook a subcontratar las obligaciones que tiene en cuanto al Tratamiento de datos según el presente Acuerdo a sus Filiales y a otros terceros, cuya lista Facebook deberá facilitarte si se la pides por escrito. Facebook solo podrá llevar a cabo esta subcontratación por medio de un acuerdo escrito con el sub-Procesador correspondiente en el que se impongan a este las mismas obligaciones en cuanto a la protección de datos que tiene Facebook según el presente Acuerdo. Si el sub-Procesador no cumpliese estas obligaciones, Facebook asumirá ante ti plena responsabilidad por el ejercicio de las obligaciones del sub-Procesador en cuanto a la protección de datos.
    4. En el caso de que Facebook contrate a sub-Procesadores adicionales o sustitutos a partir del (i) 25 de mayo de 2018 o de (ii) la Fecha de entrada en vigor (la fecha que sea más avanzada), deberá informarte de estos con catorce (14) días de antelación como mínimo antes del nombramiento de dichos sub-Procesadores. Podrás oponerte a la contratación de estos sub-Procesadores adicionales o sustitutos en un plazo de catorce (14) días después de recibir la notificación correspondiente por parte de Facebook. Para ello, deberás cancelar el Acuerdo de inmediato avisando por escrito a Facebook.
    5. En cuanto Facebook tenga conocimiento de una Vulneración de la seguridad de los datos personales que afecte a Tus datos personales, deberá avisarte de ella sin dilación indebida. Dicha notificación incluirá, en el momento del envío o tan pronto como sea posible después de este, detalles relevantes sobre la Vulneración de la seguridad de los datos personales siempre que sea posible, incluido el número de tus registros afectados, la categoría y el número aproximado de Usuarios afectados, las consecuencias esperadas de dicha vulneración, así como las medidas reales o propuestas, cuando corresponda, para mitigar los posibles efectos adversos a causa de esta situación.