Model Contracts: Suministro de protección de datos

November 2016

11. SEGURIDAD DE DATOS Y PRIVACIDAD

Con fines del presente contrato, los "Datos personales" son cualquier información relacionada con una personal natural identificado o identificable (p. ej., un individuo privado en oposición a una empresa o a otra entidad comparable). Una persona identificable es alguien que puede identificarse, directa o indirectamente, en particular por referencia a un número de identificación o a las características sociales, culturales, económicas, mentales, fisiológicas, físicas de la persona. Los datos personales del [cliente/titular] son datos personales del [cliente/titular] y pueden hacer referencia a empleados del [cliente/titular], o a otras personas naturales, incluyendo al [cliente/titular] o a los socios de sus afiliados, proveedores o contratistas.

11.2 Seguridad de datos y garantías de privacidad 

El proveedor representa y se asegura de estar en conformidad con todas las normativas y regulaciones aplicables en la actualidad y en el futuro, sin limitarse a aquellas relativas a la protección de datos personales. El proveedor representa y se asegura de poner en práctica, y de mantener y exigir a los proveedores de servicios de terceros que pongan en práctica y mantengan los procedimientos administrativos, organizativos, técnicos, electrónicos y físicos apropiados (i) requeridos por la normativa o regulación aplicable, (ii) si procede, se exige para cumplir con las obligaciones contractuales del proveedor y (iii) ser coherente con las normativas industriales aplicables, para salvaguardar y asegurar todos los datos personales del [cliente/titular] e información confidencial recibida, procesada y preparada para el [cliente/titular] y/o sus afiliados y/o proveedores correspondientes, clientes y otros socios comerciales de terceros.

11.3 Garantías mínimas

Como mínimo, el proveedor salvaguarda la protección de los datos personales y la información confidecial debería incluir la garantía de sus instalaciones comerciales, centros de datos, documentos impresos, ordenadores (incluyendo servidores y sistemas de copias de seguridad) y la implementación de la autentificación y controles de accesos dentro de los medios, aplicaciones de software, sistemas operativos y equipos. Salvo en la medida en que el [cliente/titular] deba ofrecer una renuncia expresa por escrito, el proveedor provocará en los agentes y subcontratistas que (a) encripten o provoquen la encriptación de todos los datos personales del [cliente/titular] transmitidos por el proveedor y/u ordenadores y/o dispositivos de comunicación móvil y medios de servicios de terceros y (b) que ecnripten todos los datos personales del [cliente/titular] almacenados en ordenadores portátiles y/u otros dispositivos portátiles inalámbricos de proveedores de terceros o redes públicas, si procede o en la medida en que el [cliente/titular] bajo las normativas y regulaciones aplicables (i) esté obligado a encriptar los datos personales del [cliente/titular] o, (ii) en caso de que haya un fallo de seguridad con respecto a los datos personales del [cliente/titular], el [cliente/titular] estará obligado a notificar a las personas en cuestión. El proveedor deberá ofrecer información al [cliente/titular] y el método de la encriptación.

11.4 Revisiones de garantías 

El proveedor deberá revisar continuamente los procedimientos y garantías de tecnología de los servicios de terceros para asegurarse de que conservan su consistencia con los estándares aplicables. El proveedor deberá (i) presentar copias de las políticas de protección de datos y procedimientos a pedido junto con SSAE 16 SOC 2 tipo II e ISO 27001:2005 o informes similares de auditoría, dado que el proveedor puede (ii) permitir al [cliente/titular] y contar con que revise sus garantías tecnológicas y puede exigir a proveedores de servicios de terceros que también lo permitan. En caso de que la revisión revele que los procedimientos o garantías tecnológicas del proveedor o cualquiera de sus proveedores de servicios de terceros no sean coherentes con los estándares aplicables, el [cliente/titular] tendrá el derecho de finalizar este acuerdo sin responsabilidad alguna.

11.5 Fallo de seguridad

El proveedor deberá notificar al titular de inmediato de cualquier fallo real, potencial o sospecheso de la seguridad de los datos, incluyendo, pero sin limitación, los datos personales del [cliente/titular] en manos del proveedor o de cualquier proveedor de servicios de terceros. Con fines del presente contrato, un "fallo de seguridad" implicará la adquisición o el acceso a datos informatizados por parte de una persona no autorizada que ponga en peligro la seguridad, confidencialidad o integridad de dichos datos. Adémas de cualquier otro requisito de notificación establecido en el presente contrato, dicha notificación será enviada al (i) vicepresidente y jefe de información, Textron Inc., 2301 Eagle Parkway, Suite 100, Fort Worth, TX 76177 por parte de un servicio de transporte nocturno de reconocimiento nacional y facsímil a (817) 590-1190 y al (ii) vicepresidente y al consejero general adjunto, Textron Inc., 40 Westminster Street, Providence, RI 02903 por parte de un servicio de transporte nocturno de reconocimiento nacional y facsímil a (401) 457-3696. El proveedor indemnizará, estará exento de toda responsabilidad y actuará en defensa del [cliente/titular] por cualquier responsabilidad, derecho, demanda judicial, multa o juicio, pérdida o perjuicio (se incluyen los honorarios razonables del abogado) derivados o provocados por el fallo del proveedor o de proveedores de servicios de terceros para salvaguardar y conservar la seguridad de los datos personales del [cliente/titular] y el resto de información confidencial, incluyendo cualquier gasto o costa derivado de la notificación de personas en cuanto al fallo de seguridad de los datos personales del [cliente/titular] y de ofrecerles servicios de supervisión crediticia a las personas apropiadas.

11.6 Evaluación de riesgos de seguridad TEXTRON TI

El proveedor representa y garantiza que cualquier respuesta proporcionada con respecto a la forma de evaluaciones de riesgos de Textron TI y cualquier información complementaria proporcionada será precisa y completa. El proveedor deberá presentar una notificación por escrito con una antelación mínima de (30) días de (a) cualquier procedimiento de proveedores de servicios propios o de terceros o de la tecnología que causaría el cambio de dicha información de forma negativa en los intereses del [cliente/titular] o de cualquier persona con la que se relacionen los datos personales del [cliente/titular] o cualquier información confidencial a una localización u ordenador en el que no se haya presentado información suficiente al [cliente/titular] o con respecto a cualquier formulario de evaluación de riesgos de seguridad de Textron TI.

11.7 Transferencia de datos personales del [cliente/titular] fuera del país de origen.

Sin el consentimiento previo por escrito del [cliente/titular] en cada caso, el proveedor no deberá transferir o permitir la cesión o acceso de cualquier tercero a los datos personales del [cliente/titular] bajo la custodia del proveedor o cualquier proveedor de servicios de terceros por parte o para con cualquier persona, entidad u ordenador en cualquier país diferentes al país en el que reside la persona en cuestión con la que se relacionan los datos personales ("país de origen"). Concretamente en caso de datos personales del [cliente/titular] relacionados con la Únion Europea ("UE"), personas suizas o canadienses, el proveedor no deberá transferir o permitir la transferencia de dichos datos personales del [cliente/titular] en cada caso o estén en conformidad con cualquier disposición relevante de contratos de transferencia de datos a la que el proveedor pueda acceder con el [cliente/titular] o cualquiera de sus afiliados con respecto a los estándares aplicables de procesos a datos personales de particulares de la UE, Suiza o Canadá, según corresponda. El proveedor deberá cumplir con las cláusulas contractuales estándar de la Comisión Europea (también denominadas cláusulas modelo o contratos modelo) con el [cliente/titular] cuando así lo solicite.

11.8 Estándar de seguridad de datos industriales de tarjetas de pago ("PCI DSS")

En caso de que, en el curso de la representación del proveedor de servicios, tenga acceso o recoja, utilice, almacene, procese, disponga o revele cualquier información del titular del pago, de crédito, débito relacionada con el [cliente/titular] o cualquiera de sus empleados, clientes, proveedores u otros socios comericales, el proveedor deberá obligar a los proveedores de servicios de terceros a que cumplan con los requisitos de PCI DSS en todo momento y deberán presentar ante el [cliente/titular] las pruebas correspondientes, ya que el [cliente/titular] puede solicitarlas de vez en cuando de forma razonable.

11.9 HIPAA, etc.

El proveedor representa y asegura al [cliente/titular] que, si procede, el [software y] los servicios cumplan en su totalidad con la ley pública 104-91, la ley de Transferibilidad y Responsabilidad del Seguro de Salud de 1996 ("HIPAA") y la política de seguridad de Internet y administración financiera sanitaria de 1998. Además, el proveedor estará de acuerdo y exigirá a los proveedores de servicios de terceros que establezcan y mantengan un programa eficaz para prevenir y detectar infracciones legales, incluyendo, pero sin limitarse a violaciones de HIPAA y todas las normativas propuestas y las normativas finales de conformidad con la HIPAA aplicable y que afectan al [cliente/titular], [software y] los servicios y operaciones del proveedor.