Acuerdo de procesamiento de datos - Managed Solutions
El presente Acuerdo de procesamiento de datos ("DPA", por sus siglas en inglés) complementa y forma parte del acuerdo entre el Cliente y Equinix ("Acuerdo") que rige la prestación de las Managed Solutions al Cliente ("Servicios"), en la medida en que las Leyes de protección de datos se apliquen al Procesamiento por parte de Equinix de los Datos personales del Cliente.
En consecuencia, las Partes han acordado y suscrito el presente APD para regular dicha actividad de Tratamiento.
Definiciones. Los términos en mayúsculas no definidos a continuación tendrán el significado que se les atribuye en el Acuerdo.
"CCPA" significa la Ley de Privacidad del Consumidor de California de 2018, Código Civil sección 1798.100 y siguientes.
"Responsable del Tratamiento" es la entidad que determina los fines y medios del Tratamiento de Datos Personales.
"Cross-Context Behavioural Advertising" tiene el significado que le atribuye la CCPA.
"Datos del Cliente" incluye todos los datos cargados, almacenados, recibidos, recuperados, transmitidos a través de o procesados de otro modo por el Cliente como parte de su uso de los Servicios.
"Datos Personales del Cliente" significa todos los Datos Personales que forman parte de los Datos del Cliente.
"Acuerdo SCC del Cliente" hace referencia al acuerdo entre el Cliente y Equinix, que incorpora las Cláusulas Contractuales Estándar, que forma parte del presente APD, que entra en vigor al inicio de cualquier Transferencia Restringida y que se establece en Equinix - Acuerdo SCC del Cliente.
"Leyes de protección de datos" hace referencia a todas las leyes que regulan el Procesamiento de Datos Personales que son aplicables al Procesamiento de Datos del Cliente por parte de Equinix en relación con los Servicios.
"Sujeto de los datos": la persona viva identificada o identificable a la que se refieren los datos personales.
"GDPR" significa Reglamento General de Protección de Datos, Reglamento (UE) 2016/679.
"Datos Personales" significa cualquier información relativa a una persona física identificada o identificable y cuya recogida, uso, divulgación, almacenamiento o cualquier otro tratamiento esté regulado por las Leyes de Protección de Datos.
Por "violación de datos personales" se entenderá una violación de la seguridad que provoque la destrucción accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a datos personales transmitidos, almacenados o tratados de otro modo.
"Encargado del tratamiento": la entidad que trata Datos Personales por cuenta del Responsable del tratamiento.
"Tratamiento" (incluyendo "Procesado" y "Proceso") significa cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, tales como acceso, recogida, registro, organización, almacenamiento, recuperación, consulta, uso, y como este término pueda definirse más adelante bajo las Leyes de Protección de Datos.
"Transferencia Restringida" significa cualquier transferencia internacional o transfronteriza de Datos Personales del Cliente que, en ausencia de las Cláusulas Contractuales Tipo u otro mecanismo legal aplicable, sería ilegal en virtud de las Leyes de Protección de Datos.
"Incidente de seguridad" Acontecimiento que tiene el potencial de infringir las políticas de seguridad o confidencialidad de Equinix o que amenaza de otro modo la capacidad de Equinix de mantener la seguridad, confidencialidad o disponibilidad adecuadas en relación con los datos, el personal u otros recursos de Equinix.
"Vender" tiene el significado que le da la CCPA.
"Cláusulas Contractuales Tipo" o "CCC" se refiere, según sea aplicable a cualquier Transferencia Restringida entre las partes, a las cláusulas contractuales tipo pertinentes para la transferencia internacional de Datos Personales (i) establecidas en la Decisión Europea de Ejecución (UE) 2021/914 ("CCC de la UE"); (ii) establecidas en la Adenda del Reino Unido; o (iii) emitidas por una autoridad competente en virtud de cualquier otra Ley de Protección de Datos aplicable.
"Publicidad dirigida" tiene el significado que le atribuye la CCPA.
"Adenda del Reino Unido" significa la Adenda de Transferencia Internacional de Datos a las Cláusulas Contractuales Estándar emitida por el Comisionado de Información del Reino Unido en virtud de la sección 119A (1) de la Ley de Protección de Datos de 2018.
1. EJECUCIÓN DEL TRATAMIENTO
1.1 Si Equinix procesa Datos Personales del Cliente como resultado de la prestación de Servicios, el Cliente actúa como Controlador y Equinix como Procesador, y las disposiciones de la presente DPA se aplicarán y se leerán de acuerdo con, y complementadas por, los términos de las Políticas de Producto para los Servicios y el Modelo de Responsabilidad Compartida que describen las responsabilidades de las Partes y que pueden encontrarse aquí: Modelo de Responsabilidad Compartida
1.2 Cada una de las Partes cumplirá con sus respectivas obligaciones en virtud de las Leyes de Protección de Datos y proporcionará al menos el nivel de protección de los Datos Personales del Cliente exigido por las Leyes de Protección de Datos.
1.3 El alcance y la naturaleza del Tratamiento por parte de Equinix de los Datos Personales del Cliente se establecen en el Anexo 1 de la presente DPA.
1.4 El Cliente determinará los fines y los medios del Tratamiento de los Datos personales del Cliente. El Cliente, sin perjuicio de las obligaciones de Equinix en virtud del Acuerdo y del presente APD, y sin limitación de sus obligaciones en virtud de las Leyes de Protección de Datos, tomará todas las medidas necesarias para garantizar que los Datos Personales del Cliente puedan ponerse legalmente a disposición de Equinix y ser Tratados por Equinix para los fines indicados por el Cliente en virtud del Acuerdo y del presente APD.
1.5 Equinix únicamente tratará los Datos Personales del Cliente con el fin comercial específico de cumplir sus obligaciones en virtud del Acuerdo y del presente APD. El Acuerdo y el presente APD constituyen las instrucciones completas por escrito del Cliente a Equinix en relación con el Tratamiento de los Datos Personales del Cliente. No obstante lo anterior, Equinix podrá Procesar Datos Personales del Cliente para cumplir con las Leyes de Protección de Datos aplicables, pero informará al Cliente de dicho requisito legal antes del Procesamiento, a menos que dicha ley prohíba dicha información. El Cliente tiene derecho, previa notificación, a tomar las medidas razonables y adecuadas para detener y remediar el uso no autorizado por parte de Equinix de los Datos personales del Cliente.
1.6 Salvo que las Leyes de Protección de Datos permitan expresamente lo contrario, Equinix no venderá, conservará, utilizará, compartirá, revelará ni procesará de ningún otro modo los Datos Personales del Cliente, ya sea de forma agregada o individual:
-
1.6.1 para cualquier fin comercial o de otro tipo, incluido el servicio de un negocio diferente al fin específico descrito en la Sección 1.5
-
1.6.2 fuera de la relación comercial directa entre Equinix y el Cliente; o
-
1.6.3 para la publicidad comportamental en contextos cruzados o la publicidad dirigida.
1.7 Equinix acepta que cualquier Dato personal del cliente agregado, anónimo, desidentificado o seudónimo que reciba del Cliente o en su nombre, o que genere a través de la prestación de los Servicios, no podrá volver a asociarse o identificarse con una persona. Equinix se comprometerá públicamente a no intentar volver a identificar dicha información. Equinix no combinará los Datos Personales del Cliente con los Datos Personales que reciba de, o en nombre de, otra persona o personas, o que recopile de sus propias interacciones con los interesados, salvo en la medida en que lo permitan las Leyes de Protección de Datos.
1.8 Como Responsable del tratamiento, el Cliente es responsable de informar a los interesados acerca del Tratamiento de los Datos personales del Cliente y de responder a las solicitudes de ejercicio de los derechos de los interesados en virtud de las Leyes de protección de datos. El Cliente reconoce que Equinix ha configurado los Servicios y ha implementado las medidas técnicas y organizativas adecuadas que están diseñadas para permitir al Cliente acceder, modificar y eliminar los Datos personales del Cliente sin asistencia adicional por parte de Equinix. Teniendo en cuenta la naturaleza del Tratamiento y el alcance limitado del acceso de Equinix a los Datos Personales del Cliente, Equinix proporcionará al Cliente, previa solicitud, toda la asistencia adicional que sea razonablemente necesaria para que el Cliente pueda cumplir con los derechos de los interesados.
1.9 El Cliente autoriza a Equinix a contratar a cualquier Afiliado o tercero como Procesador adicional ("Subprocesador"), sujeto a Equinix:
-
1.9.1 suscribir un acuerdo de tratamiento de datos con el Cliente que cumpla la legislación sobre protección de datos;
-
1.9.2 notificar al Cliente con antelación cualquier cambio en el uso que haga de los Subprocesadores, dándole así la oportunidad de oponerse; y
-
1.9.3 seguir siendo responsable ante el Cliente de cualquier incumplimiento por parte de un Subencargado del tratamiento de sus obligaciones en relación con el Tratamiento de Datos Personales del Cliente.
Los Subprocesadores contratados por Equinix en la fecha del Acuerdo son los que figuran en el Anexo 2 del presente APD.
2. SEGURIDAD
2.1 En su calidad de Encargado del Tratamiento de los Datos Personales del Cliente, y teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, Equinix adoptará las medidas de seguridad técnicas y organizativas adecuadas que considere razonablemente necesarias para proteger los Datos Personales del Cliente, y asistirá al Cliente, en la medida en que sea razonablemente factible, en el cumplimiento de las obligaciones de seguridad del Cliente en virtud de las Leyes de Protección de Datos. Las Partes reconocen que, en determinados casos, Equinix podrá ofrecer medidas de seguridad técnicas y organizativas adicionales como productos y servicios comerciales independientes, cuya elección corresponderá exclusivamente al Cliente. Los controles de seguridad de Equinix, que junto con el compromiso asumido en la presente Cláusula 2.1, constituyen la única responsabilidad de Equinix con respecto a la seguridad de los Datos del Cliente. Los controles de seguridad de Equinix se describen en el Anexo 3. Además, dichas medidas también cumplen los requisitos establecidos en la norma ISO 27001. El Cliente podrá solicitar una descripción de los controles de seguridad para estos requisitos.
2.2 Equinix notificará al Cliente sin demora indebida en cuanto tenga conocimiento de cualquier Vulneración de Datos Personales. En la medida en que Equinix disponga de la información, proporcionará al Cliente información sobre la naturaleza y las posibles consecuencias de la Vulneración de Datos Personales y sobre las medidas que se han tomado o se tomarán para abordar la Vulneración de Datos Personales, así como cualquier otra información a la que el Cliente tenga derecho en virtud de las Leyes de Protección de Datos.
2.3 Equinix se asegurará de que las personas autorizadas a tratar los Datos Personales del Cliente se hayan comprometido a mantener la confidencialidad o estén sujetas a una obligación legal de confidencialidad adecuada.
3. AUDITORÍAS
3.1 Programa de auditoría de Equinix. Equinix contrata a auditores externos para evaluar la idoneidad de sus medidas de seguridad con respecto al Tratamiento de Datos Personales de Clientes. Dichas auditorías se realizan al menos una vez al año a expensas de Equinix. Las auditorías son realizadas por profesionales de seguridad cualificados e independientes seleccionados por Equinix y tienen como resultado la generación de un resumen de auditoría confidencial ("Informe de auditoría"). Equinix, previa solicitud por escrito del Cliente y a intervalos razonables, proporcionará al Cliente una copia de su Informe de auditoría más reciente. Todos estos Informes de auditoría son Información confidencial de Equinix y se proporcionan para uso exclusivo del Cliente.
3.2 Auditoría del cliente. El Cliente acepta que cualquier derecho de auditoría otorgado por las Leyes de protección de datos se satisfará mediante la presentación de este Informe de auditoría. En la medida en que el Cliente pueda demostrar que el Informe de Auditoría no proporciona información suficiente para verificar el cumplimiento del presente APD por parte de Equinix, o cuando el Cliente deba organizar una auditoría adicional por parte de cualquier autoridad supervisora, las Partes acordarán mutuamente el alcance del plan de auditoría del Cliente que: (a) garantice el uso de un tercero independiente; (b) notifique a Equinix el inicio de la auditoría con una antelación razonable, por escrito; (c) exija el acceso al personal y a la infraestructura de Equinix únicamente durante el horario laboral normal; (d) acepte la facturación al Cliente según las tarifas vigentes en ese momento de Equinix por el tiempo empleado por el personal de Equinix en la auditoría; (g) obliga al Cliente y a su auditor externo, en la medida en que lo permita la ley o la normativa, a mantener la confidencialidad de cualquier información revelada o recopilada de otro modo durante el transcurso de la auditoría del Cliente.
4. DEVOLUCIÓN O SUPRESIÓN DE CONTENIDOS DEL CLIENTE
4.1 Equinix proporcionará al Cliente, previa solicitud por escrito de éste, toda la asistencia adicional que sea razonablemente necesaria para que el Cliente pueda eliminar o devolver los Datos personales del Cliente, por cuenta y cargo del Cliente.
4.2 Retención exigida por ley. Sin perjuicio de cualquier disposición en contrario de la presente Sección 4, Equinix podrá conservar los Datos Personales del Cliente, o cualquier parte de los mismos, si así lo exige la legislación o normativa aplicable, incluida la Ley de Protección de Datos, siempre que dichos Datos Personales del Cliente sigan estando protegidos de conformidad con los términos del Acuerdo, el presente APD y la Ley de Protección de Datos.
5. TRANSFERENCIAS INTERNACIONALES
5.1 Si se produce una Transferencia Restringida entre las partes, éstas acuerdan suscribir las Cláusulas Contractuales Estándar en la forma establecida en el Acuerdo SCC de Cliente de Equinix, disponible en: Equinix - Customer SCC Agreement, u otro mecanismo legal aplicable. El Acuerdo SCC del Cliente se incorpora al presente APD y forma parte del mismo, y entra en vigor en el momento del inicio de una Transferencia Restringida entre las partes.
6. SOLICITUDES DE INFORMACIÓN
6.1 Equinix, previa solicitud, y teniendo en cuenta la naturaleza del Procesamiento y la información disponible para Equinix, asistirá razonablemente al Cliente en relación con las obligaciones del Cliente respecto a la protección de datos o las evaluaciones de impacto sobre la privacidad exigidas por las Leyes de Protección de Datos.
7. VARIOS
7.1 El Cliente reconoce y acepta que Equinix puede, a su entera discreción, modificar el presente Acuerdo de colaboración en materia de protección de datos de vez en cuando, lo cual, en su opinión razonable, es necesario para garantizar el cumplimiento continuado de las leyes de protección de datos por las Partes, y que dichos términos modificados del Acuerdo de colaboración en materia de protección de datos entrarán en vigor en el momento de su publicación.
7.2 Las disposiciones del presente APD forman parte de los términos del Contrato y los complementan. En caso de ambigüedad, conflicto o incoherencia entre los términos del presente APD y los términos del Contrato, prevalecerán los términos del APD. El presente APD sustituye a cualquier otro acuerdo suscrito por Equinix en su calidad de Procesador de Datos Personales del Cliente en relación con los Servicios.
Anexo 1 del Acuerdo de Procesamiento de Datos
Según la cláusula 1.3, este es el alcance y la naturaleza del procesamiento de Equinix.
| Tier Name | Product examples | Purpose of Processing | Equinix Role | Customer Role | Categories of Personal Data |
|---|---|---|---|---|---|
| Infrastructure as a Service | Managed Private Cloud | (a) Backup, support, planning, and enabling migration, deployment, and development of Services; Encryption (enabled by default for data at rest in MPC Storage) (b) Infrastructure management (preventing, detecting, investigating, mitigating, and repairing problems, including security incidents and problems identified in the Services; and (c) Enhancing delivery, efficacy, quality, and security of our Services, including keeping Services up to date, and enhancing reliability, efficacy, quality, and security and fixing defects. | Data Processor | Data Controller | As determined by Customer |
| Enhanced Platform as a Service | Managed Private Backup | As above | Data Processor | Data Controller | As determined by Customer |
| Infrastructure as a Service | Managed Private Storage | As above | Data Processor | Data Controller | As determined by Customer |
Anexo 2 del Acuerdo de Procesamiento de Datos
Según la cláusula 1.9, se trata de la lista de subprocesadores:
Globally: Equinix Services Inc.
Equinix (US) Enterprises Inc.
Equinix (UK) Enterprises Ltd.
Equinix (Germany) Enterprises GmbH
Equinix (Netherlands) Enterprises BV
Virtu Secure Webservices BV
Equinix (Italy) Enterprises SRL
Equinix (Japan) Enterprises KK
Equinix (Japan) Technology Services KK
Equinix do Brasil Solucoes de Tecnologia en Informatica Ltda
Equinix do Brasil Telecommunicacoes Ltda
Equinix MX Services SA de CV
Equinix (Canada) Enterprises Ltd.
Equinix (Sweden) Enterprises AB
Equinix (France) Enterprises SAS
Equinix (Spain) Enterprises SAU
Equinix (Finland) Enterprises Oy
Equinix (Ireland) Enterprises Ltd
Anexo 3 - MEDIDAS TÉCNICAS Y ORGANIZATIVAS
El cuadro siguiente ilustra las medidas técnicas y organizativas aplicadas por Equinix para la prestación de servicios:
| Domain | Practices |
|---|---|
| Organization of Information Security Organizational Context Risk Management Strategy Roles, Responsibilities, and Authorities Policy Oversight | Equinix has organized governance of Information Security around the following teams and programs which review, evaluate and enhance Equinix security practices: Audit and compliance – Equinix formally complies with various industry standards, such as ISO 27001. Audit attestations and certificates are provided by qualified third-party auditors. These auditors coordinate activities with various business and technology teams like Business Assurance Services, Internal Audit, and Operations. Information Security team – Working closely with the legal organization, this team is charged to follow global and business unit guidelines to help ensure compliance with local and federal laws and regulations. Information Security Risk Management - Working closely with business representatives to establish Equinix' priorities, constraints, risk tolerance and appetite statements, and ensuring that assumptions are established, communicated, and used to support operational risk decisions. Information Security policies – The Equinix Information Security team administers and enforces a comprehensive set of confidential Information security policies that is reviewed and endorsed by senior management. This team ensures that the internal policies are global in scope, covering country-specific and region-specific laws, regulations, and business requirements. Areas covered by these internal security policies include, but are not limited to: acceptable use of technology, anti-virus and malware, data backup and retention, data classification, labeling and handling, logical access, passwords, patch management, mobile devices, personal computers, remote access and VPN, and social media. |
| Information Protection Human Resource Security | Equinix has implemented and maintains employee security training programs regarding information security risks and requirements. The security awareness training programs are reviewed and updated at least annually. Where permitted by law, and to the extent available from applicable governmental authorities, Equinix requires each employee to undergo a background check. |
| Asset Management | Asset Inventory - Equinix has implemented processes that focus on identifying and cataloging all assets used to deliver services. This process includes physical assets, virtual assets and intangible assets like software licenses. By maintaining an accurate up to date inventory, Equinix can effectively track its assets, monitor their usage, and plan for maintenance. Asset Handling - This involves implementing technical and organizational measures to protect assets from damage, theft, or unauthorized access. Technical measures may include implementing security systems to safeguard physical assets, such as surveillance cameras and access control systems. Equinix may employ encryption and authentication protocols to protect customer data stored on digital assets. Organizational measures involve establishing policies and procedures for asset handling, including guidelines for asset maintenance, usage, and disposal. |
| Physical and Environmental Security | Safeguarding physical security of every IBX Center where information systems processing and storing customer data are located is a high operational priority. Each IBX Center uses an array of security equipment, techniques and procedures to monitor the facility and to control and record access. Access – The access control subsystem allows authorized users inside the building and within the facility. Biometric security devices, proximity cards and other technologies identify users to the access control system, and upon authentication allow contacts to navigate the IBX as permitted. Alarm Monitoring and Intrusion Detection – The alarm monitoring and intrusion detection subsystem monitor the status of various devices associated with the security system. Monitoring devices include door position switches, glass break detectors, motion detectors, and tamper switches. If the status of any device changes from their secure state, an alarm is activated, the event is recorded, and appropriate measure is taken. CCTV – The closed-circuit television subsystem provides the display, control, recording and playback of live video from cameras throughout the facility, as well as outside the facility where legally permitted. This system is integrated with the alarm monitoring and intrusion detection subsystem, so in the event of an alarm, cameras are displayed automatically to view the event in real time. |
| Communications and Operations Management | Vulnerability Assessments - Equinix performs regular internal and external vulnerability assessments and penetration testing of the Equinix EMS information systems and will investigate identified issues and track them to resolution in a timely manner. Malicious Software - Equinix has anti-malware controls to help avoid malicious software gaining unauthorized access to customer data including malicious software originating from public networks. Change Management - Equinix maintains controls designed to log, authorize, test, approve and document changes to existing resources and will document change details within its change management or deployment tools. Equinix will test changes according to its change management standards prior to migration to production. Equinix will maintain processes designed to detect unauthorized changes to the Equinix information systems and track identified issues to a resolution. Data Integrity - Equinix maintains controls designed to provide data integrity during transmission, storage, and processing within the Equinix Services information systems. Event Logging - Equinix logs, or enables Customer to log, access and use information systems containing customer data -specific to that customer- registering the access ID, time, authorization granted or denied, and relevant activity. Backup/Restore – Customer Data is backed up where applicable via backup tooling. Equinix employees managing these backups have no access to the Customer Data. In case a restore is required, Customer can request this restore. |
| Access Control | Equinix makes the Customer Data accessible only to authorized personnel, and only as necessary to maintain and provide the Equinix Services. Equinix maintains access policies and controls to manage authorizations for access to the customer data from each network connection and user through the use of firewalls, controlled access connectivity or functionally equivalent technology and authentication controls. Data Segregation - Equinix maintains access controls designed to restrict unauthorized access to Customer Data and segregate each Customer's Data from other Customers' Data. User access controls - Relates to access to Equinix information include, but are not limited to: - least privilege principles based on personnel job functions - review and approval prior to provisioning access - at least quarterly review of access privileges - when necessary, revoke access privileges in a timely manner - two-factor authentication for access to the Customer Data - monitoring by Equinix (or enabled Customers) for anomalies in access activity such as for example (but not limited to) repeated attempts to gain access to the information system using an invalid password. |
| Information Security | Incident Management Incident Response Process - Equinix maintains incident response plans (runbooks) to respond to potential security threats to the Managed Solution Services. Equinix runbooks will have defined processes to detect, mitigate, investigate, and report security incidents. The Equinix runbooks include incident verification, attack analysis, containment, data collection, and problem remediation. For each Security Breach that is a Security Incident, appropriate notification by Equinix EMS will be made in compliance with local regulations. Service Monitoring - Equinix monitors on a continuous basis, or enables Customer to monitor, for anomalies related to security events (for example but not limited to repeated attempts to gain access to the information system using an invalid password). |
| Business Continuity Management | Emergency and Contingency plans - Equinix maintains emergency and contingency plans for the facilities in which Equinix information systems that process Customer Data are located. These plans will be tested annually. Data recovery - Equinix redundant storage and its procedures for recovering data are designed to attempt to reconstruct Customer Data in its original or last-replicated state. |