Anexo sobre el tratamiento de datos
Este anexo sobre el tratamiento de datos (“DPA”) complementa el Contrato de suscripción u otro acuerdo vigente entre el Suscriptor y MTech que regule el uso por parte del Suscriptor de los Servicios de suscripción de MTech.
Los términos en mayúsculas que no se definan en el presente documento tendrán el significado que se les atribuye en el Contrato de suscripción. Los términos definidos en la legislación aplicable en materia de protección de datos —entre ellos, “el interesado”, “datos personales”, “tratamiento” y “tercer país”— que se utilicen en el presente Acuerdo de tratamiento de datos tendrán el mismo significado que se les atribuye en dicha legislación.
1. Definiciones
“Legislación aplicable en materia de protección de datos” se refiere a todas las leyes aplicables al tratamiento de datos personales en virtud del Contrato de suscripción.
“Ley General de Protección de Datos de Brasil” o “LGPD” se refiere a la Ley n.º 13.709/2018, de 18 de agosto de 2018.
“SCC brasileños” se refiere a las cláusulas contractuales establecidas en el anexo II del Reglamento brasileño sobre la transferencia internacional de datos personales de la Autoridad Nacional de Protección de Datos de Brasil (Resolución CD/ANPD n.º 19/2025), en su versión modificada, derogada o sustituida periódicamente.
“Legislación de la UE en materia de protección de datos” incluye (i) el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos, o RGPD) y (ii) la Directiva de la UE sobre privacidad electrónica (Directiva 2002/58/CE), en su versión modificada, derogada o sustituida en cada momento.
“Cláusulas contractuales tipo de la UE” se refiere a las cláusulas contractuales anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países con arreglo al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, en su versión modificada, derogada o sustituida en cada momento.
“Incidente de seguridad” se refiere a cualquier violación de la seguridad que dé lugar a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado, de forma accidental o ilícita, a los datos personales de los suscriptores tratados por MTech y/o sus subencargados del tratamiento.
“Leyes suizas de protección de datos” se refiere a la Ley Federal Suiza de Protección de Datos y a sus reglamentos de aplicación, en su versión vigente, modificada, derogada o sustituida en cada momento.
“Anexo del Reino Unido” se refiere al Anexo sobre transferencia internacional de datos de las Cláusulas Contractuales Típicas de la Comisión Europea, publicado por el Comisionado de Información del Reino Unido, versión B1.0, vigente desde el 21 de marzo de 2022, con sus modificaciones, sustituciones o sustituciones periódicas.
“Leyes de protección de datos del Reino Unido” se refiere a la Ley de Protección de Datos de 2018 y al RGPD, incorporados a la legislación del Reino Unido en virtud del artículo 3 de la Ley del Reino Unido sobre la Unión Europea (Retirada) de 2018, en su versión modificada, derogada o sustituida periódicamente.
“Leyes estatales de privacidad de EE. UU.” se refiere a todas las leyes estatales aplicables relativas a la protección y el tratamiento de datos personales vigentes en los Estados Unidos de América, lo que puede incluir, entre otras, la Ley de Privacidad del Consumidor de California, modificada por la Ley de Derechos de Privacidad de California, y sus reglamentos de aplicación.
2. Ámbito de aplicación y vigencia
2.1 Funciones de las partes. A los efectos del Contrato de suscripción, las partes acuerdan lo siguiente:
(a) El Suscriptor es el responsable del tratamiento de datos personales o un encargado del tratamiento que actúa en nombre de otro responsable (por ejemplo, una filial del Suscriptor) al transmitir las instrucciones de tratamiento pertinentes a MTech. Los detalles del tratamiento se especifican en el Anexo 1 (Descripción del tratamiento).
(b) MTech es un encargado del tratamiento (o, en su caso, un subencargado del tratamiento) de datos personales. Los detalles del tratamiento se recogen en el Anexo 1 (Descripción del tratamiento).
2.2 Vigencia del DPA. La vigencia del presente Acuerdo de Protección de Datos coincide con la del Contrato de Suscripción y finaliza al vencimiento o a la rescisión anticipada de este último (o, si es posterior, en la fecha en que MTech cese todo tratamiento de los datos personales del Suscriptor).
2.3 Orden de prelación. En caso de conflicto o inconsistencia entre los siguientes documentos, el orden de prelación, de mayor a menor, será el siguiente: (1) las condiciones aplicables establecidas en el Anexo 2 (Condiciones específicas de la región), (2) el Anexo 1 (Descripción del tratamiento), (3) el cuerpo principal del presente DPA, y (4) el Contrato de suscripción.
3. Tratamiento de datos personales
3.1 Instrucciones para el suscriptor.
(a) El presente DPA, el Contrato de suscripción, los SOW pertinentes y el uso que el Suscriptor haga de los Servicios de suscripción (incluidos los servicios de soporte técnico relacionados) y de los Servicios profesionales constituyen las instrucciones documentadas del Suscriptor en relación con el tratamiento por parte de MTech de los datos personales del Suscriptor (las “Instrucciones documentadas”).
(b) MTech tratará los datos personales del Suscriptor exclusivamente de conformidad con las Instrucciones Documentadas, tal y como se detalla en la Sección 6 del Anexo 1 (Descripción del tratamiento). El Suscriptor: (i) debe asegurarse de que sus Instrucciones Documentadas cumplan con las Leyes de Protección de Datos Aplicables. MTech no es responsable de supervisar el cumplimiento por parte del Suscriptor de las Leyes de Protección de Datos Aplicables; y (ii) es responsable de determinar si los Servicios de Suscripción y los Servicios Profesionales son apropiados para el tratamiento de los datos personales del Suscriptor conforme a las Leyes de Protección de Datos Aplicables.
3.2 Confidencialidad. MTech tratará los datos personales de los suscriptores como información confidencial, de conformidad con el Contrato de suscripción. MTech se asegurará de que el personal autorizado para tratar datos personales esté sujeto a obligaciones de confidencialidad, ya sean escritas o legales.
4. Seguridad
4.1 Medidas de seguridad. MTech ha implementado y mantendrá las medidas técnicas y organizativas adecuadas, diseñadas para proteger la seguridad, la confidencialidad, la integridad y la disponibilidad de los Datos del suscriptor, así como para protegerlos contra incidentes de seguridad. El suscriptor es responsable de configurar los Servicios de suscripción y de utilizar las características y funcionalidades que MTech pone a su disposición para mantener un nivel de seguridad adecuado, teniendo en cuenta la naturaleza de los Datos del suscriptor. Las medidas técnicas y organizativas actuales de MTech se describen en https://mtechsystems.io/legal/security-measures/. El suscriptor reconoce que las medidas de seguridad están sujetas a los avances y desarrollos técnicos, y que MTech podrá actualizar o modificar dichas medidas periódicamente, siempre y cuando dichas actualizaciones y modificaciones no reduzcan de manera significativa la seguridad general de los Servicios de suscripción durante el Plazo de suscripción.
4.2 Incidentes de seguridad. MTech notificará al Suscriptor sin demora injustificada y, cuando sea posible, a más tardar setenta y dos (72) horas después de tener conocimiento de un incidente de seguridad que afecte a los datos personales tratados en virtud del presente DPA. MTech hará todo lo posible por identificar la causa del Incidente de Seguridad, mitigar sus efectos y subsanar la causa en la medida en que esté dentro del control razonable de MTech. A petición del Suscriptor y teniendo en cuenta la naturaleza del tratamiento y la información de que dispone MTech, MTech prestará asistencia al Suscriptor proporcionándole la información razonablemente necesaria para que este cumpla con sus obligaciones de notificación de Incidentes de Seguridad en virtud de las Leyes de Protección de Datos Aplicables.
5. Subencargados del tratamiento
5.1 Autorización general. Al suscribir este DPA, el Suscriptor otorga a MTech autorización general para que contrate a subencargados del tratamiento con el fin de que estos traten los datos personales del Suscriptor. MTech (i) celebrará un acuerdo por escrito con cada subencargado del tratamiento en el que se impondrán condiciones de protección de datos que exijan al subencargado proteger los datos personales del Suscriptor de acuerdo con los estándares exigidos por las Leyes de Protección de Datos Aplicables y este DPA, y (ii) seguirá siendo responsable ante el Suscriptor si dicho subencargado del tratamiento incumple sus obligaciones de protección de datos con respecto a las actividades de tratamiento pertinentes en virtud del Acuerdo de Suscripción.
5.2 Notificación sobre nuevos subencargados del tratamiento. MTech mantiene una lista actualizada de sus subencargados del tratamiento en https://mtechsystems.io/legal/sub-processor-list, que incluye un mecanismo para que el Suscriptor se suscriba a las notificaciones sobre nuevos subencargados del tratamiento. MTech notificará cualquier cambio en la lista a las direcciones de correo electrónico suscritas (excepto en los casos en que se elimine a un subencargado del tratamiento de la lista).
5.3 Objeción a nuevos subencargados del tratamiento. El Suscriptor podrá oponerse al nombramiento de un nuevo subencargado del tratamiento por parte de MTech en un plazo de treinta (30) días a partir de la recepción de la notificación de cambio. Las partes analizarán la objeción de buena fe. Si las partes no logran llegar a una solución, MTech podrá ofrecer un acuerdo alternativo para excluir al subencargado del tratamiento, incluso si ello tiene un efecto adverso en la prestación de los Servicios de suscripción o si supone un gasto para el Suscriptor, o, si un acuerdo alternativo no es razonablemente viable para MTech, rescindir el Contrato de suscripción. El único recurso del Suscriptor si no está de acuerdo con un acuerdo alternativo será rescindir el Contrato de suscripción sin que ello implique responsabilidad alguna para MTech.
6. Obligaciones de asistencia y cooperación
6.1 Derechos de los interesados. Teniendo en cuenta la naturaleza del tratamiento, MTech prestará asistencia razonable y oportuna al Suscriptor para que este pueda responder a las solicitudes de ejercicio de los derechos de los interesados (incluidos los derechos de acceso, rectificación, supresión, limitación del tratamiento, oposición y portabilidad de los datos) en relación con los datos personales del Suscriptor.
6.2 Obligaciones de cooperación. Previa solicitud razonable del Suscriptor, y teniendo en cuenta la naturaleza del tratamiento, MTech prestará asistencia razonable al Suscriptor para que este cumpla con sus obligaciones en virtud de las Leyes de Protección de Datos aplicables (incluidas las evaluaciones de impacto en materia de protección de datos y las consultas con las autoridades reguladoras), siempre que el Suscriptor no pueda cumplir razonablemente dichas obligaciones por sí mismo con la ayuda de la documentación disponible.
6.3 Solicitudes de terceros. A menos que lo prohíba la legislación aplicable, MTech notificará de inmediato al Suscriptor cualquier procedimiento legal válido y ejecutable o solicitud gubernamental que obligue a MTech a revelar los datos personales del Suscriptor. En caso de que MTech reciba una consulta o una solicitud de información de cualquier otro tercero (como un organismo regulador o el titular de los datos) en relación con el tratamiento de los datos personales del Suscriptor, MTech remitirá dichas consultas al Suscriptor y no proporcionará ninguna información a menos que así lo exija la legislación aplicable.
7. Eliminación y devolución de los datos personales de los suscriptores
7.1 Durante el plazo de suscripción. Durante el Plazo de suscripción, el Suscriptor y sus usuarios finales podrán, a través de las funciones de los Servicios de suscripción, acceder a los datos personales del Suscriptor y recuperarlos. El Suscriptor también podrá solicitar la eliminación de sus datos personales. Tenga en cuenta que es posible que se conserven determinados registros del sistema o de seguridad con fines de integridad operativa, seguridad y cumplimiento normativo, incluso después de una solicitud de eliminación.
7.2 Tras la rescisión. Tras la expiración o rescisión del Contrato de suscripción, MTech, una vez transcurrido un período de gracia limitado, dejará de tratar todos los datos personales del Suscriptor que haya recibido como parte de los Servicios de suscripción. Sin perjuicio de lo anterior, MTech podrá conservar datos personales (i) según lo exijan las Leyes de Protección de Datos Aplicables, o (ii) de conformidad con sus políticas estándar de respaldo o retención de registros, siempre que, en cualquiera de los casos, MTech mantenga la confidencialidad de los datos personales conservados y cumpla con las disposiciones aplicables del presente DPA con respecto a los mismos, y no los procese más allá de lo requerido o permitido por las Leyes de Protección de Datos Aplicables.
8. Auditoría
8.1 Informes de auditoría. MTech es auditada periódicamente por auditores externos independientes y/o auditores internos, tal y como se describe en https://mtechsystems.io/trust-center/. Previa solicitud, y siempre que el Suscriptor haya firmado un acuerdo de confidencialidad aplicable con MTech, MTech proporcionará al Suscriptor un resumen o una copia de los informes de auditoría pertinentes, de modo que el Suscriptor pueda verificar el cumplimiento por parte de MTech de las normas de auditoría según las cuales ha sido evaluada y del presente DPA. Si el Suscriptor no puede verificar razonablemente el cumplimiento por parte de MTech de los términos de este DPA, MTech proporcionará respuestas por escrito (de forma confidencial) a todas las solicitudes razonables de información realizadas por el Suscriptor en relación con el tratamiento de datos personales por parte de MTech, siempre que dicho derecho no se ejerza más de una vez cada doce (12) meses.
8.2 Auditorías presenciales. Solo en la medida en que el Suscriptor no pueda confirmar razonablemente el cumplimiento de este DPA por parte de MTech mediante el ejercicio de sus derechos en virtud de la Sección 8.1 anterior, o cuando así lo exijan las Leyes de Protección de Datos Aplicables o una autoridad reguladora, el Suscriptor, o sus representantes autorizados, podrán, a cargo del Suscriptor, realizar auditorías durante la vigencia del Contrato de Suscripción para evaluar el cumplimiento de MTech con los términos de este DPA. Cualquier auditoría deberá (i) realizarse durante el horario laboral habitual de MTech, previa notificación por escrito con una antelación razonable de al menos sesenta (60) días naturales (a menos que las Leyes de Protección de Datos Aplicables o una autoridad reguladora exijan un plazo de preaviso más corto), (ii) estar sujeta a controles de confidencialidad razonables que obliguen al Suscriptor (y a sus representantes autorizados) a mantener la confidencialidad de cualquier información revelada que, por su naturaleza, deba ser confidencial, (iii) realizarse no más de una vez cada doce (12) meses, y (iv) limitar sus conclusiones únicamente a la información relevante para el Suscriptor.
9. Transferencias internacionales
Disposiciones internacionales. En la medida en que MTech trate datos personales protegidos por las leyes de protección de datos aplicables en alguna de las regiones enumeradas en el Anexo 2 (Condiciones específicas por región), también se aplicarán las condiciones especificadas para las regiones correspondientes, incluidas las disposiciones pertinentes en materia de transferencias internacionales de datos personales (ya sea directamente o mediante una transferencia posterior).
Anexo 1 - Descripción del tratamiento
1. Categorías de interesados. Usuarios finales suscritos (empleados, administradores, contratistas).
2. Categorías de datos personales. Información de la cuenta y de contacto (incluidos el nombre, el cargo, el correo electrónico, el número de teléfono, etc.), Datos del suscriptor (incluidos los datos personales que contengan), datos técnicos y del dispositivo (incluidas direcciones IP, identificadores de dispositivos, etc.), datos de uso (incluidos registros, métricas de uso, datos de rendimiento, etc.), datos de soporte y comunicación (incluida la información proporcionada a MTech en tickets de soporte, correos electrónicos y chats, comentarios o respuestas a encuestas, etc.), datos de ubicación, datos de seguridad y autenticación (incluidos tokens de autenticación, registros de seguridad, etc.).
3. Datos confidenciales. Los Servicios de suscripción no están diseñados para procesar categorías especiales de datos personales ni información sensible de naturaleza similar. Ni el suscriptor ni sus usuarios finales deben subir o enviar ningún contenido que incluya dichas categorías de datos, tal y como se definen en las leyes de protección de datos aplicables.
4. Frecuencia. De forma continua, según sea necesario para prestar los servicios durante el Plazo de suscripción.
5. Naturaleza del tratamiento. MTech trata los datos personales en la medida necesaria para prestar los Servicios de suscripción y cualquier Servicio profesional en virtud del Contrato de suscripción. El tratamiento puede incluir actividades tales como la recopilación, la organización, el almacenamiento, la transmisión, el acceso en el marco de la asistencia técnica y la puesta a disposición de los datos personales por medios automatizados.
6. Finalidad(es) del tratamiento. MTech tratará los datos personales en calidad de encargado del tratamiento, de conformidad con las instrucciones documentadas del Suscriptor, con el fin de: (a) prestar y mejorar los Servicios de suscripción y los Servicios profesionales relacionados para el Suscriptor, y permitir el uso de diversas características y funcionalidades de los Servicios de suscripción, así como investigar incidentes de seguridad y resolver problemas, fallos y errores; (b) hacer cumplir el Acuerdo de suscripción (incluida la PUA); y (c) cumplir con las obligaciones legales de MTech. MTech es el responsable del tratamiento de datos personales tal y como se especifica en la política de privacidad de MTech disponible en https://mtechsystems.io/legal/privacy-policy/. A efectos de claridad, este acuerdo de tratamiento de datos no limita ni prohíbe a MTech actuar en esa capacidad.
7. Duración del tratamiento. MTech tratará los datos personales durante la vigencia del Contrato de suscripción, tal y como se establece en la sección 7.
8. Transferencias a subencargados del tratamiento. MTech transferirá datos personales a subencargados del tratamiento según lo permitido en la sección 5. Esto también puede implicar transferencias a otros países o jurisdicciones, tal y como se indica en la lista de subencargados del tratamiento.
Anexo 2: Términos específicos de cada región
1. UE/EEE, Reino Unido y Suiza
1.1 Transferencias dentro de la UE/EEE. Cuando los datos personales protegidos por la legislación de la UE en materia de protección de datos se transfieran, ya sea directamente o mediante una transferencia posterior, a un país fuera de la UE/EEE que no esté sujeto a una decisión de adecuación, se aplicará lo siguiente:
(a) Las Cláusulas Contractuales Típicas de la UE quedan incorporadas al presente Acuerdo de Tratamiento de Datos por referencia de la siguiente manera:
(i) El suscriptor es el “exportador de datos” y MTech es el “importador de datos”.
(ii) El Módulo Dos (Responsable del tratamiento a encargado del tratamiento) se aplica cuando el Suscriptor es el responsable del tratamiento de sus datos personales y MTech trata dichos datos en calidad de encargado del tratamiento.
(iii) El Módulo Tres (De encargado a encargado) se aplica cuando el Suscriptor actúa como encargado del tratamiento de sus propios datos personales y MTech trata dichos datos en calidad de otro encargado del tratamiento.
(iv) Al celebrar el presente Acuerdo de Tratamiento de Datos, se considerará que cada una de las partes ha firmado las Cláusulas Contractuales Típicas de la UE a partir de la fecha de inicio del Acuerdo de Suscripción.
(b) Para cada módulo, cuando proceda:
(i) En la cláusula 7, no se aplica la cláusula de acoplamiento opcional.
(ii) Se aplica la cláusula 9, opción 2, y el plazo para la notificación previa de los cambios en los subencargados del tratamiento se establece en la sección 5 del presente acuerdo de tratamiento de datos.
(iii) En la cláusula 11, la formulación opcional no es aplicable.
(iv) En la cláusula 17, se aplica la Opción 1, y las Cláusulas Contractuales Típicas de la UE se rigen por la legislación sueca.
(v) En la cláusula 18(b), las controversias se resolverán ante los tribunales de Suecia.
(vi) El apéndice de las cláusulas contractuales tipo de la UE se completa de la siguiente manera:
(A) La información requerida en el anexo I(A) se encuentra en el contrato de suscripción y/o en los pliegos de condiciones pertinentes.
(B) La información requerida en el anexo I(B) se encuentra en el anexo 1 (Descripción del tratamiento) del presente acuerdo de tratamiento de datos.
(C) La autoridad de control competente indicada en el anexo I, letra C), se determinará de conformidad con la legislación aplicable en materia de protección de datos.
(D) La información requerida para el anexo II se encuentra https://mtechsystems.io/legal/security-measures/.
1.2 Traslados en Suiza. Cuando los datos personales protegidos por las leyes suizas de protección de datos se transfieran, ya sea directamente o mediante una transferencia posterior, a cualquier otro país que no esté sujeto a una decisión de adecuación, se aplicarán las Cláusulas Contractuales Típicas de la UE tal y como se indica en la sección 1.1 (Transferencias a la UE/EEE) anterior, con las siguientes modificaciones:
(a) Todas las referencias en las CCT de la UE al “Reglamento (UE) 2016/679” se interpretarán como referencias a las Leyes de Protección de Datos de Suiza, y las referencias a artículos específicos del “Reglamento (UE) 2016/679” se sustituirán por el artículo o sección equivalente de las Leyes de Protección de Datos de Suiza. Todas las referencias a las Leyes de Protección de Datos de la UE en este DPA se interpretarán como referencias a las Leyes de Protección de Datos de Suiza.
(b) En la cláusula 13, la autoridad de supervisión competente es el Comisionado Federal Suizo de Protección de Datos e Información.
(c) En la cláusula 17, las Cláusulas Contractuales Típicas de la UE se rigen por la legislación suiza.
(d) En la cláusula 18(b), las controversias se resolverán ante los tribunales de Suiza.
(e) Toda referencia a los Estados miembros se interpretará de manera que incluya a Suiza, y los interesados que se encuentren en Suiza no quedarán excluidos del ejercicio de sus derechos en su lugar de residencia habitual, de conformidad con la cláusula 18(c).
1.3 Transferencias en el Reino Unido. Cuando los datos personales protegidos por las leyes de protección de datos del Reino Unido se transfieran, ya sea directamente o mediante una transferencia posterior, a un país fuera del Reino Unido que no esté sujeto a una decisión de adecuación, se aplicará lo siguiente:
(a) Las Cláusulas Contractuales Típicas de la UE se aplican tal como se establece en la sección 1.1 (Transferencias a la UE/EEE) anterior, con las siguientes modificaciones:
(i) Se considerará que cada una de las partes ha firmado el Anexo del Reino Unido.
(ii) En cuanto a la Tabla 1 del Anexo del Reino Unido, la información de contacto principal de las partes se encuentra en el Contrato de suscripción y/o en el Pliego de condiciones correspondiente.
(iii) En cuanto a la Tabla 2 del Anexo del Reino Unido, la información pertinente sobre la versión de las Cláusulas Contractuales Típicas de la UE, los módulos y las cláusulas seleccionadas a las que se adjunta este Anexo del Reino Unido se encuentra más arriba, en la Sección 1.1 (Transferencias a la UE/EEE).
(iv) Para la Tabla 3 del Apéndice del Reino Unido:
(A) La información requerida para el Anexo 1A se encuentra en el Contrato de suscripción y/o en el pliego de condiciones correspondiente.
(B) La información requerida para el anexo 1B se encuentra en el anexo 1 (Descripción del tratamiento) del presente acuerdo de tratamiento de datos.
(C) La información requerida para el anexo II se encuentra en https://mtechsystems.io/legal/security-measures/.
(D) La información requerida para el anexo III se encuentra en la sección 5 del presente DPA.
(b) En la Tabla 4 del Anexo del Reino Unido, tanto el importador de datos como el exportador de datos pueden rescindir el Anexo del Reino Unido.
2. Estados Unidos de América
2.1 Ámbito de aplicación. Las siguientes condiciones se aplican cuando MTech trata datos personales sujetos a las leyes estatales de privacidad de EE. UU.
2.2 Tratamiento en EE. UU. En la medida en que los datos personales del Suscriptor incluyan información personal protegida por las leyes estatales de privacidad de EE. UU. que MTech procese en calidad de proveedor de servicios o encargado del tratamiento en nombre del Suscriptor, MTech procesará dicha información personal de conformidad con las Leyes de Privacidad de los Estados de EE. UU., lo que incluye cumplir con las secciones aplicables de dichas leyes y proporcionar el mismo nivel de protección de la privacidad que exigen las Leyes de Privacidad de los Estados de EE. UU., y de acuerdo con las Instrucciones Documentadas del Suscriptor, según sea necesario para los fines limitados y específicos identificados en la Sección 6 del Anexo 1 (Descripción del procesamiento) del presente DPA. MTech no:
(a) conservar, utilizar, divulgar o tratar de cualquier otra forma dicha información personal con fines comerciales distintos de los fines limitados y específicos identificados en el presente DPA, el Contrato de suscripción y/o cualquier pliego de condiciones pertinente, o para operaciones internas, la mejora del servicio, la seguridad, la prevención del fraude, el cumplimiento legal o la creación de datos anonimizados o agregados;
(b) “vender” o “compartir” dicha información personal en el sentido de las leyes estatales de privacidad de los Estados Unidos; y
(c) conservar, utilizar, divulgar o tratar de cualquier otra forma dicha información personal fuera del ámbito de la relación comercial directa con el Suscriptor, ni combinar la información personal del Suscriptor con información personal que reciba de otras fuentes, salvo en la medida en que sea necesario para prestar los Servicios de suscripción o según lo permitan las leyes estatales de privacidad de los Estados Unidos.
2.3 Obligación de informar. MTech informará al suscriptor si determina que ya no puede cumplir con sus obligaciones en virtud de las leyes estatales de privacidad de EE. UU.
2.4 Medidas razonables y adecuadas. El suscriptor podrá adoptar las medidas razonables y adecuadas para detener y subsanar cualquier tratamiento no autorizado de su información personal.
2.5 Datos anonimizados. En la medida en que el Suscriptor divulgue o ponga a disposición de MTech datos anonimizados, o en la medida en que MTech genere datos anonimizados a partir de los Datos del Suscriptor y de la información personal, en cada caso en su calidad de proveedor de servicios, MTech:
(a) adoptar medidas razonables para evitar que dichos datos anonimizados se utilicen para inferir información sobre una persona física o un hogar concretos, o que se relacionen de cualquier otra forma con ellos;
(b) conservar dichos datos anonimizados en forma anonimizada y no intentar reidentificarlos, salvo que MTech pueda intentar reidentificarlos con el único fin de determinar si sus procesos de anonimización cumplen con las leyes estatales de privacidad de los Estados Unidos; y
(c) antes de compartir datos anonimizados con cualquier tercero, incluidos subencargados del tratamiento, contratistas u otros terceros, asegurarse de que dichos destinatarios estén obligados contractualmente a cumplir requisitos sustancialmente similares a los establecidos en la presente sección 2.
3. Brasil
3.1 Ámbito de aplicación de la LGPD. Las partes garantizan que tratarán los datos personales de conformidad con la legislación aplicable, incluyendo, entre otras, la LGPD y cualquier otra legislación y normativa aplicable al tratamiento de datos personales cuyos efectos extraterritoriales afecten a las partes y/o a las transacciones contempladas en el Contrato de Suscripción, con el único y exclusivo objetivo de prestar los servicios al Suscriptor.
3.2 Transferencias en Brasil. Cuando los datos personales protegidos por la LGPD se transfieran, ya sea directamente o mediante una transferencia posterior, a un país fuera de Brasil que no esté sujeto a una decisión de adecuación emitida por la Autoridad Nacional de Protección de Datos (“ANPD”), se aplicará lo siguiente:
(a) Las cláusulas contractuales tipo brasileñas se incorporan al presente acuerdo de tratamiento de datos mediante referencia, tal y como se indica a continuación:
(i) El suscriptor es el “exportador de datos” y MTech es el “importador de datos”.
(ii) Al celebrar el presente DPA, se considerará que cada una de las partes ha firmado las Cláusulas Contractuales Típicas de Brasil a partir de la fecha de inicio del Contrato de Suscripción.
(b) Los SCC brasileños se completan de la siguiente manera:
(i) Se considerará que la cláusula 1 (Identificación de las partes) de las CGC queda cumplimentada con la información que figura en el Contrato de suscripción.
(ii) Se considerará que la cláusula 2 (Objeto) de las CGC queda completada con la información que figura en el anexo 1 del presente DPA.
(iii) Se considerará que la cláusula 3 (Transferencias posteriores) de las CCT se ha completado con la información que figura en el anexo 1 del presente DPA.
(iv) Cláusula 4 (Responsabilidades de las partes) de las CCT: se aplicará la Opción A, y el exportador de datos será responsable de cumplir con las obligaciones establecidas en la cláusula 4.1 (a)-(c).
(v) Se considerará que la Sección III (Medidas de seguridad) de las CCT queda completada con la información que figura en la Sección 4 del presente DPA.