Loading…
Este Anexo de Tratamiento de Datos ("DPA") se celebra entre RegulatoryBridge Global Ltd. ("Encargado del Tratamiento" o "RegulatoryBridge") y el cliente que acepta los Términos del Servicio o suscribe un Formulario de Pedido ("Responsable del Tratamiento" o "Cliente").
El DPA se aplica al tratamiento por parte de RegulatoryBridge de datos personales por cuenta del Cliente en relación con los Servicios. El Cliente es el responsable del tratamiento (o, cuando corresponda, un encargado que actúa por cuenta de sus propios clientes-responsables). RegulatoryBridge es el encargado del tratamiento (o, según corresponda, un subencargado). Cuando ambas partes traten datos personales con fines conjuntos, las partes celebrarán un acuerdo de corresponsabilidad independiente conforme al art. 26 del GDPR.
"Legislación de Protección de Datos Aplicable" significa el GDPR; el UK GDPR + Data Protection Act 2018; la CCPA/CPRA de California; la LGPD de Brasil; la DPDPA de la India; la PDPA de Singapur; la APPI de Japón; la FADP suiza; y cualquier otra ley de privacidad aplicable al tratamiento en virtud de este DPA.
Los términos en mayúscula utilizados pero no definidos tienen los significados establecidos en los Términos del Servicio o en la Legislación de Protección de Datos Aplicable (lo que corresponda al término concreto).
El objeto, la naturaleza, la finalidad, la duración, las categorías de interesados y las categorías de datos personales se establecen en el Anexo A.
RegulatoryBridge tratará los datos personales únicamente siguiendo las instrucciones documentadas del Cliente, según se especifica en (a) el Formulario de Pedido, (b) este DPA y (c) cualquier instrucción adicional por escrito aceptada por RegulatoryBridge. Notificaremos al Cliente si, en nuestra opinión, una instrucción infringe la Legislación de Protección de Datos Aplicable, y podremos suspender el tratamiento a la espera de una decisión del Cliente.
Todo el personal y los contratistas de RegulatoryBridge con acceso a datos personales están vinculados por obligaciones de confidencialidad por escrito o sujetos a un deber legal de confidencialidad adecuado, y reciben formación periódica en protección de datos y seguridad.
Implementaremos y mantendremos medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento. Las medidas vigentes se describen en el Anexo B y están alineadas con la norma ISO/IEC 27001:2022 y las familias de controles de SOC 2 Type II.
El Cliente autoriza a RegulatoryBridge a recurrir a los subencargados del tratamiento que figuran en la página de Subencargados del tratamiento (y reflejados en el Anexo C). Cada subencargado está vinculado por condiciones escritas que establecen obligaciones de protección de datos al menos tan protectoras como las de este DPA. Proporcionaremos un aviso previo de al menos 30 días sobre nuevos subencargados. El Cliente podrá oponerse por motivos razonables dentro de ese plazo, y las partes negociarán de buena fe; si no se alcanza una solución, el Cliente podrá rescindir el Servicio afectado.
Teniendo en cuenta la naturaleza del tratamiento, RegulatoryBridge prestará asistencia razonable mediante medidas técnicas y organizativas adecuadas para que el Cliente pueda cumplir su obligación de responder a las solicitudes de los interesados que ejerzan sus derechos. Cuando un interesado se ponga en contacto directamente con RegulatoryBridge con una solicitud relativa a los datos del Cliente, remitiremos sin demora la solicitud al Cliente.
RegulatoryBridge notificará al Cliente sin dilación indebida —y en todo caso dentro de las 48 horas siguientes a tener conocimiento— de cualquier violación de datos personales que afecte a los datos personales del Cliente. La notificación incluirá la información especificada en el artículo 33(3) del GDPR (o equivalente conforme a otra Legislación de Protección de Datos Aplicable) en la medida en que se conozca en ese momento. Prestaremos asistencia razonable al Cliente para cumplir sus propias obligaciones de notificación a las autoridades de control y a los interesados.
Cuando los datos personales se transfieran desde el EEE / el Reino Unido / Suiza a un tercer país que no se beneficie de una decisión de adecuación, las partes incorporan por referencia las Cláusulas Contractuales Tipo de la UE (Decisión de Ejecución (UE) 2021/914 de la Comisión), Módulo 2 (Responsable → Encargado) o Módulo 3 (Encargado → Encargado), según corresponda, junto con el Anexo de Transferencia Internacional de Datos del Reino Unido para las transferencias al Reino Unido, y las adaptaciones reconocidas por el FDPIC suizo para las transferencias suizas.
Para las transferencias desde la India (DPDPA), Brasil (LGPD), Japón (APPI) y Singapur (PDPA), las partes se basarán en los mecanismos reconocidos por la ley correspondiente (consentimiento, adecuación, garantías contractuales) y en anexos específicos por país disponibles previa solicitud.
RegulatoryBridge pondrá a disposición del Cliente toda la información razonablemente necesaria para demostrar el cumplimiento de este DPA, y permitirá y contribuirá a auditorías, incluidas inspecciones, realizadas por el Cliente o por un auditor designado por el Cliente. Para minimizar la duplicación y la interrupción operativa:
A elección del Cliente, tras la finalización de los Servicios, RegulatoryBridge devolverá todos los datos personales al Cliente o los suprimirá, incluidos los de las copias de seguridad, en un plazo de 90 días, salvo que la conservación sea exigida por la Legislación de Protección de Datos Aplicable. El Cliente podrá exportar el Contenido del Cliente durante el Plazo de la Suscripción utilizando las herramientas de exportación estándar descritas en la Documentación.
La responsabilidad de cada parte en virtud de este DPA está sujeta a las limitaciones de responsabilidad establecidas en los Términos del Servicio, salvo en la medida en que la Legislación de Protección de Datos Aplicable exija que no esté limitada.
Este DPA entra en vigor en la fecha de entrada en vigor indicada arriba y permanecerá vigente mientras RegulatoryBridge trate datos personales por cuenta del Cliente. Las secciones que por su naturaleza deban subsistir tras la resolución (seguridad, confidencialidad, auditoría, notificación de violaciones de eventos anteriores a la resolución) subsistirán en consecuencia.
Este DPA se rige por la ley de Ireland, sin perjuicio de la ley imperativa de la residencia habitual del interesado. Las controversias se resuelven de conformidad con los Términos del Servicio.
Objeto: Prestación de los Servicios descritos en el Formulario de Pedido, incluida la representación regulatoria, los servicios de DPO, la respuesta a violaciones y el software relacionado.
Duración: El Plazo de la Suscripción más el período de conservación establecido en la Sección 12 de este DPA.
Naturaleza y finalidad del tratamiento: Almacenar, acceder, organizar, estructurar, transmitir y tratar de cualquier otro modo datos personales para prestar los Servicios.
Categorías de interesados: Usuarios finales, empleados, contratistas, prospectos, proveedores del Cliente y cualquier otra persona física cuyos datos personales se incluyan en el Contenido del Cliente.
Categorías de datos personales: Identificadores de contacto (nombre, correo electrónico profesional, cargo); datos de comportamiento (interacciones con los Servicios); documentos de cumplimiento (registros de DSAR, incidentes de violación, registros de consentimiento); contenido cargado por el Cliente (que puede incluir otras categorías, según la configuración del Cliente).
Datos de categorías especiales: Por lo general, ninguno. Si el Cliente decide cargar datos personales de categorías especiales o sensibles, el Cliente es responsable de garantizar una condición lícita adecuada conforme al artículo 9 del GDPR o equivalente.
Frecuencia del tratamiento: Continua, durante el Plazo de la Suscripción.
La lista actual de subencargados del tratamiento autorizados se publica y mantiene en /sub-processors. La lista vigente en el momento de la aceptación del Formulario de Pedido se incorpora aquí por referencia. Las actualizaciones se comunican según lo establecido en la Sección 7.
src/lib/legal-entity.ts.