Apéndice sobre tratamiento de datos
Este apéndice de procesamiento de datos ("DPA", por sus siglas en inglés) complementa el Contrato de suscripción u otro contrato vigente entre el Suscriptor y MTech que cubra el uso por parte del Suscriptor de los Servicios de suscripción de MTech.
Los términos en mayúsculas no definidos en el presente documento tendrán el significado establecido en el Contrato de Suscripción. Los términos definidos en la legislación aplicable en materia de protección de datos, incluidos "interesado", "datos personales", "tratamiento" y "tercer país", que se utilicen en el presente APD tendrán el mismo significado que el establecido en la legislación aplicable en materia de protección de datos.
1. Definiciones
"Leyes de protección de datos aplicables" se refiere a todas las leyes aplicables al tratamiento de datos personales en virtud del Contrato de Suscripción.
"Ley General de Protección de Datos de Brasil" o "LGPD" significa Ley nº 13, 709/2018 del 18 de agosto de 2018.
"CEC brasileñas" se refiere a las cláusulas contractuales establecidas en el Anexo II del Reglamento brasileño sobre transferencia internacional de datos personales de la Autoridad Nacional de Protección de Datos de Brasil (Resolución CD/ANPD nº 19/2025), con sus modificaciones, sustituciones o reemplazos periódicos.
"Leyes de protección de datos de la UE" incluye (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos, o RGPD) y (ii) la Directiva de privacidad electrónica de la UE (Directiva 2002/58/CE) modificada, sustituida o reemplazada de vez en cuando.
"CEC de la UE": las cláusulas contractuales anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, en su versión modificada, sustituida o reemplazada de vez en cuando.
"Incidente de seguridad" se refiere a cualquier violación de la seguridad que provoque la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los datos personales del Suscriptor procesados por MTech y/o sus subprocesadores.
"Leyes suizas de protección de datos" se refiere a la Ley federal suiza de protección de datos y sus reglamentos de aplicación modificados, sustituidos o reemplazados de vez en cuando.
"Apéndice del Reino Unido" significa el Apéndice de Transferencia Internacional de Datos a las Cláusulas Contractuales Estándar de la Comisión de la UE emitido por el Comisionado de Información del Reino Unido, Versión B1.0, en vigor el 21 de marzo de 2022, modificado, sustituido o reemplazado de vez en cuando.
"Leyes de protección de datos del Reino Unido" significa la Ley de Protección de Datos de 2018 y el GDPR incorporados a la legislación del Reino Unido en virtud de la Sección 3 de la Ley de la Unión Europea (Retirada) del Reino Unido de 2018, según se modifiquen, sustituyan o reemplacen de vez en cuando.
"Leyes de Privacidad del Estado de EE.UU." significa todas las leyes estatales aplicables relativas a la protección y el tratamiento de datos personales en vigor en los Estados Unidos de América, que pueden incluir, sin limitación, la Ley de Privacidad del Consumidor de California, modificada por la Ley de Derechos de Privacidad de California, y sus reglamentos de aplicación.
2. Ámbito de aplicación y plazo
2.1 Funciones de las Partes. A los efectos del Contrato de Suscripción, las partes acuerdan que:
(a) El suscriptor es un controlador de datos personales o un procesador de datos personales que actúa en nombre de otro controlador (por ejemplo, la filial del suscriptor) mientras transmite las instrucciones de procesamiento pertinentes a MTech. Los detalles del tratamiento figuran en el Anexo 1 (Descripción del tratamiento).
(b) MTech es un procesador (o respectivamente, un subprocesador) de datos personales. Los detalles del tratamiento figuran en el Anexo 1 (Descripción del tratamiento).
2.2 Vigencia del APD. La vigencia de este APD coincide con la vigencia del Contrato de suscripción y finaliza con la expiración o rescisión anticipada del Contrato de suscripción (o, si es posterior, en la fecha en que MTech cese todo procesamiento de los datos personales del Suscriptor).
2.3 Orden de precedencia. En caso de conflicto o incoherencia entre los siguientes documentos, el orden de precedencia de mayor a menor será (1) las condiciones aplicables establecidas en el Anexo 2 (Condiciones específicas de la región), (2) el Anexo 1 (Descripción del procesamiento), (3) el cuerpo principal de este APD y (4) el Contrato de suscripción.
3. Tratamiento de datos personales
3.1 Instrucciones para el abonado.
(a) Esta DPA, el Contrato de suscripción, los SOW pertinentes y el uso por parte del Suscriptor de los Servicios de suscripción (incluidos los servicios de soporte técnico relacionados) y los Servicios profesionales constituyen las instrucciones documentadas del Suscriptor con respecto al procesamiento de MTech de los datos personales del Suscriptor (las "Instrucciones documentadas").
(b) MTech procesará los datos personales del Suscriptor únicamente de acuerdo con las Instrucciones documentadas, como se indica en la Sección 6 del Anexo 1 (Descripción del procesamiento). El suscriptor: (i) debe asegurarse de que sus Instrucciones documentadas cumplan con las Leyes de protección de datos aplicables. MTech no es responsable de supervisar el cumplimiento del Suscriptor con las Leyes de Protección de Datos Aplicables; y (ii) es responsable de determinar si los Servicios de Suscripción y los Servicios Profesionales son apropiados para el procesamiento de los datos personales del Suscriptor según las Leyes de Protección de Datos Aplicables.
3.2 Confidencialidad. MTech tratará los datos personales del Suscriptor como Información confidencial en virtud del Contrato de suscripción. MTech se asegurará de que el personal autorizado para procesar datos personales esté sujeto a obligaciones de confidencialidad escritas o legales.
4. Seguridad
4.1 Medidas de seguridad. MTech ha implementado y mantendrá medidas técnicas y organizativas apropiadas diseñadas para proteger la seguridad, confidencialidad, integridad y disponibilidad de los Datos del suscriptor y protegerlos contra Incidentes de seguridad. El suscriptor es responsable de configurar los Servicios de suscripción y de usar las características y funcionalidades puestas a disposición por MTech para mantener la seguridad apropiada a la luz de la naturaleza de los Datos del suscriptor. Las medidas técnicas y organizativas actuales de MTech se describen en https://mtechsystems.io/legal/security-measures/. El Suscriptor reconoce que las medidas de seguridad están sujetas al progreso y desarrollo técnico y que MTech puede actualizar o modificar las medidas de seguridad de vez en cuando, siempre y cuando dichas actualizaciones y modificaciones no disminuyan materialmente la seguridad general de los Servicios de suscripción durante el Plazo de suscripción.
4.2 Incidentes de seguridad. MTech notificará al suscriptor sin demoras indebidas y, cuando sea factible, a más tardar setenta y dos (72) horas después de tener conocimiento de un incidente de seguridad que involucre datos personales procesados en virtud de esta DPA. MTech realizará esfuerzos razonables para identificar la causa del incidente de seguridad, mitigar los efectos y remediar la causa en la medida en que MTech tenga un control razonable. A petición del suscriptor y teniendo en cuenta la naturaleza del tratamiento y la información de que dispone MTech, MTech ayudará al suscriptor proporcionándole la información razonablemente necesaria para que pueda cumplir con sus obligaciones de notificación de incidentes de seguridad en virtud de las leyes de protección de datos aplicables.
5. Subprocesadores
5.1 Autorización general. Al celebrar este APD, el suscriptor otorga autorización general para que MTech contrate subprocesadores para procesar los datos personales del suscriptor. MTech (i) celebrará un acuerdo por escrito con cada subprocesador que imponga términos de protección de datos que requieran que el subprocesador proteja los datos personales del Suscriptor según el estándar exigido por las Leyes de Protección de Datos Aplicables y esta DPA, y (ii) seguirá siendo responsable ante el Suscriptor si dicho subprocesador no cumple con sus obligaciones de protección de datos con respecto a las actividades de procesamiento pertinentes en virtud del Contrato de Suscripción.
5.2 Notificación de nuevos subprocesadores. MTech mantiene una lista actualizada de sus subprocesadores en https://mtechsystems.io/legal/sub-processor-list, que contiene un mecanismo para que el suscriptor se suscriba a notificaciones de nuevos subprocesadores. MTech notificará cualquier cambio en la lista a los correos electrónicos suscritos (excluidos los cambios en los que se elimine a un subprocesador de la lista).
5.3 Objeción a nuevos subprocesadores. El suscriptor podrá objetar la designación de un nuevo subprocesador por parte de MTech en un plazo de treinta (30) días a partir de la recepción de un aviso de cambio. Las partes discutirán la objeción de buena fe. Si las partes no pueden llegar a una solución, MTech podrá proporcionar un acuerdo alternativo para excluir al subprocesador, incluso si hacerlo tiene un efecto adverso en la prestación de los Servicios de suscripción o corre por cuenta del Suscriptor, o si un acuerdo alternativo no es razonablemente factible para MTech, rescindir el Contrato de suscripción. El único recurso del Suscriptor si no está de acuerdo con un acuerdo alternativo será rescindir el Contrato de suscripción sin responsabilidad alguna para MTech.
6. Obligaciones de asistencia y cooperación
6.1 Derechos del interesado. Teniendo en cuenta la naturaleza del procesamiento, MTech proporcionará asistencia razonable y oportuna al suscriptor para permitirle responder a las solicitudes de ejercicio de los derechos de un sujeto de datos (incluidos los derechos de acceso, rectificación, eliminación, restricción, objeción y portabilidad de datos) con respecto a los datos personales del suscriptor.
6.2 Obligaciones de cooperación. A petición razonable del Suscriptor, y teniendo en cuenta la naturaleza del procesamiento, MTech proporcionará asistencia razonable al Suscriptor en el cumplimiento de las obligaciones del Suscriptor en virtud de las Leyes de protección de datos aplicables (incluidas las evaluaciones de impacto de protección de datos y las consultas con las autoridades reguladoras), siempre que el Suscriptor no pueda cumplir razonablemente dichas obligaciones de forma independiente con la ayuda de la documentación disponible.
6.3 Solicitudes de terceros. A menos que la ley aplicable lo prohíba, MTech notificará de inmediato al suscriptor sobre cualquier proceso legal válido y aplicable o solicitud gubernamental que obligue a MTech a divulgar los datos personales del suscriptor. En caso de que MTech reciba una consulta o solicitud de información de cualquier tercero (como un regulador o sujeto de datos) en relación con el procesamiento de los datos personales del suscriptor, MTech redirigirá dichas consultas al suscriptor, y no proporcionará ninguna información a menos que así lo exija la ley aplicable.
7. Supresión y devolución de los datos personales del abonado
7.1 Durante el Período de Suscripción. Durante el Plazo de Suscripción, el Suscriptor y sus usuarios finales pueden, a través de las funciones de los Servicios de Suscripción, acceder a los datos personales del Suscriptor y recuperarlos. El Suscriptor también puede solicitar la eliminación de sus datos personales. Tenga en cuenta que determinados registros del sistema o de seguridad pueden conservarse con fines de integridad operativa, seguridad y cumplimiento, incluso después de una solicitud de eliminación.
7.2 Tras la rescisión. Tras el vencimiento o la rescisión del Contrato de suscripción, MTech, luego de un período de gracia limitado, interrumpirá el procesamiento de todos los datos personales del Suscriptor que haya recibido como parte de los Servicios de suscripción. Sin perjuicio de lo anterior, MTech podrá retener los datos personales (i) según lo exijan las Leyes de protección de datos aplicables, o (ii) de acuerdo con sus políticas estándar de copias de seguridad o retención de registros, siempre y cuando, en cualquiera de los casos, MTech mantenga la confidencialidad de los datos personales retenidos y cumpla con las disposiciones aplicables de esta DPA con respecto a los mismos, y no los procese más, excepto según lo exijan o permitan las Leyes de protección de datos aplicables.
8. Auditoría
8.1 Informes de auditoría. MTech es auditada periódicamente por auditores externos independientes y/o auditores internos, según se describe en https://mtechsystems.io/trust-center/. Previa solicitud, y a condición de que el suscriptor haya celebrado un acuerdo de confidencialidad aplicable con MTech, MTech proporcionará al suscriptor un resumen o una copia de los informes de auditoría pertinentes, de modo que el suscriptor pueda verificar el cumplimiento de MTech con las normas de auditoría con las que ha sido evaluado y con este APD. Si el suscriptor no puede verificar razonablemente el cumplimiento por parte de MTech de los términos del presente APD, MTech responderá por escrito (de forma confidencial) a todas las solicitudes razonables de información realizadas por el suscriptor en relación con el procesamiento de datos personales por parte de MTech, siempre que dicho derecho no pueda ejercerse más de una vez cada doce (12) meses.
8.2 Auditorías in situ. Sólo en la medida en que el Suscriptor no pueda confirmar razonablemente el cumplimiento de MTech con este DPA mediante el ejercicio de sus derechos conforme a la Sección 8.1 anterior, o cuando lo exijan las Leyes de protección de datos aplicables o una autoridad reguladora, el Suscriptor, o sus representantes autorizados, podrán, a expensas del Suscriptor, realizar auditorías durante la vigencia del Contrato de suscripción para evaluar el cumplimiento de MTech con los términos de este DPA. Toda auditoría deberá (i) llevarse a cabo durante el horario laboral habitual de MTech, con un preaviso razonable por escrito de al menos sesenta (60) días naturales (a menos que las Leyes de protección de datos aplicables o una autoridad reguladora exijan un período de preaviso más corto), (ii) estar sujeta a controles de confidencialidad razonables que obliguen al Suscriptor (y a sus representantes autorizados) a mantener la confidencialidad de cualquier información divulgada que, por su naturaleza, deba ser confidencial, (iii) realizarse como máximo una vez cada doce (12) meses, y (iv) restringir sus hallazgos únicamente a la información relevante para el Suscriptor.
9. Transferencias internacionales
Disposiciones internacionales. En la medida en que MTech procese datos personales protegidos por las Leyes de protección de datos aplicables en una de las regiones enumeradas en el Anexo 2 (Términos específicos de la región), también se aplicarán los términos especificados para las regiones aplicables, incluidas las disposiciones pertinentes para las transferencias internacionales de datos personales (directamente o mediante transferencia ulterior).
Anexo 1 - Descripción del tratamiento
1. Categorías de interesados. Usuarios finales abonados (empleados, administradores, contratistas).
2. Categorías de datos personales. Información de contacto y de la cuenta (incluidos nombre, cargo, correo electrónico, número de teléfono, etc.), Datos del suscriptor (incluidos los datos personales que contengan), datos técnicos y del dispositivo (incluidas direcciones IP, identificadores del dispositivo, etc.), datos de uso (incluidos registros, métricas de uso, datos de rendimiento, etc.), datos de asistencia y comunicación (incluida la información proporcionada a MTech en tickets de asistencia, correos electrónicos y chats, comentarios o respuestas a encuestas, etc.), datos de ubicación, datos de seguridad y autenticación (incluidos tokens de autenticación, registros de seguridad, etc.).
3. Datos sensibles. Los Servicios de Suscripción no están diseñados para procesar categorías especiales de datos personales o información sensible similar. El Suscriptor y sus usuarios finales no deben cargar ni enviar ningún contenido que incluya cualquiera de dichas categorías de datos, tal y como se definen en las Leyes de Protección de Datos Aplicables.
4. Frecuencia. Continua, según sea necesario para prestar los servicios durante el Periodo de Suscripción.
5. 5. Naturaleza del tratamiento. MTech procesa los datos personales según sea necesario para prestar los Servicios de suscripción y cualquier Servicio profesional en virtud del Contrato de suscripción. El procesamiento puede incluir actividades como la recopilación, la organización, el almacenamiento, la transmisión, el acceso en relación con la asistencia y la puesta a disposición de datos personales por medios automatizados.
6. Finalidad(es) del tratamiento. MTech procesará datos personales como procesador de acuerdo con las Instrucciones documentadas del suscriptor para: (a) proporcionar y mejorar los Servicios de suscripción y los Servicios profesionales relacionados para el suscriptor, y permitir el uso de diversas características y funcionalidades en los Servicios de suscripción, así como para investigar incidentes de seguridad y resolver problemas, fallos y errores; (b) hacer cumplir el Contrato de suscripción (incluida la PUA); y (c) cumplir con las obligaciones legales de MTech. MTech es un controlador de datos personales tal y como se especifica en la política de privacidad de MTech disponible en https://mtechsystems.io/legal/privacy-policy/. En aras de la claridad, el presente APD no limita ni prohíbe a MTech actuar en tal calidad.
7. Duración del tratamiento. MTech procesará los datos personales durante la vigencia del Contrato de suscripción, tal y como se indica en la Sección 7.
8. Transferencias a subprocesadores. MTech transferirá datos personales a subprocesadores según lo permitido en la Sección 5. Esto también puede implicar transferencias a otros países o jurisdicciones según lo establecido en la lista de subprocesadores.
Anexo 2 - Términos específicos de la región
1. UE/EEE, Reino Unido y Suiza
1.1 Transferencias UE/EEE. Cuando se transfieran datos personales protegidos por las leyes de protección de datos de la UE, ya sea directamente o mediante transferencia ulterior, a un país fuera de la UE/EEE que no esté sujeto a una decisión de adecuación, se aplicará lo siguiente:
(a) Las CEC de la UE se incorporan a la presente DPA por referencia como sigue:
(i) El suscriptor es el "exportador de datos" y MTech es el "importador de datos".
(ii) El Módulo Dos (Controlador a Procesador) se aplica cuando el Suscriptor es un controlador de los datos personales del Suscriptor y MTech está procesando los datos personales del Suscriptor como procesador.
(iii) El Módulo Tres (Procesador a Procesador) se aplica cuando el Suscriptor es un procesador de datos personales del Suscriptor y MTech está procesando datos personales del Suscriptor como otro procesador.
(iv) Mediante la celebración del presente APD, se considera que cada una de las partes ha firmado las CEC de la UE a partir de la fecha de inicio del Acuerdo de Suscripción.
(b) Para cada Módulo, cuando proceda:
(i) En la cláusula 7, no se aplica la cláusula de acoplamiento opcional.
(ii) Se aplica la Cláusula 9, Opción 2, y el plazo de notificación previa de los cambios de subencargado del tratamiento se establece en la Sección 5 del presente APD.
(iii) En la cláusula 11, no se aplica el lenguaje opcional.
(iv) En la Cláusula 17, se aplica la Opción 1, y las CEC de la UE se rigen por la legislación sueca.
(v) En la cláusula 18(b), los litigios se resolverán ante los tribunales de Suecia.
(vi) El apéndice de los SCC de la UE se rellena del siguiente modo:
(A) La información requerida para el Anexo I(A) se encuentra en el Contrato de Suscripción y/o en los correspondientes SOW.
(B) La información requerida para el Anexo I(B) se encuentra en el Anexo 1 (Descripción del Tratamiento) de esta DPA.
(C) La autoridad de control competente en el Anexo I(C) se determinará de conformidad con la Ley de Protección de Datos aplicable.
(D) La información requerida para el Anexo II se encuentra en https://mtechsystems.io/legal/security-measures/.
1.2 Transferencias a Suiza. Cuando se transfieran datos personales protegidos por las leyes suizas de protección de datos, ya sea directamente o mediante transferencia ulterior, a cualquier otro país que no esté sujeto a una decisión de adecuación, se aplicarán los CEC de la UE tal como se indica en la sección 1.1 (Transferencias UE/EEE) anterior, con las siguientes modificaciones:
(a) Todas las referencias en los CEC de la UE al "Reglamento (UE) 2016/679" se interpretarán como referencias a las leyes suizas de protección de datos, y las referencias a artículos específicos del "Reglamento (UE) 2016/679" se sustituirán por el artículo o sección equivalente de las leyes suizas de protección de datos. Todas las referencias a las leyes de protección de datos de la UE en el presente APD se interpretarán como referencias a las leyes suizas de protección de datos.
(b) En la cláusula 13, la autoridad de control competente es el Comisario Federal Suizo de Protección de Datos e Información.
(c) En la cláusula 17, las CEC de la UE se rigen por las leyes de Suiza.
(d) En la cláusula 18(b), los litigios se resolverán ante los tribunales de Suiza.
(e) Todas las referencias a los Estados miembros se interpretarán en el sentido de que incluyen a Suiza, y los interesados en Suiza no están excluidos de hacer valer sus derechos en su lugar de residencia habitual de conformidad con la cláusula 18(c).
1.3 Transferencias al Reino Unido. Cuando se transfieran datos personales protegidos por las leyes de protección de datos del Reino Unido, ya sea directamente o mediante transferencia ulterior, a un país fuera del Reino Unido que no esté sujeto a una decisión de adecuación, se aplicará lo siguiente:
(a) Los CEC de la UE se aplican según lo establecido en la Sección 1.1 (Transferencias UE/EEE) anterior con las siguientes modificaciones:
(i) Se considerará que cada una de las partes ha firmado el Addendum del Reino Unido.
(ii) Para la Tabla 1 de la Adenda del Reino Unido, la información de contacto clave de las partes se encuentra en el Acuerdo de Suscripción y/o en el correspondiente SOW.
(iii) Para la Tabla 2 de la Adenda del Reino Unido, la información pertinente sobre la versión de las CEC de la UE, los módulos y las cláusulas seleccionadas a las que se adjunta esta Adenda del Reino Unido se encuentra más arriba en la Sección 1.1 (Transferencias UE/EEE).
(iv) Para la Tabla 3 de la Adenda del Reino Unido:
(A) La información requerida para el Anexo 1A se encuentra en el Contrato de Suscripción y/o en el correspondiente SOW.
(B) La información requerida para el Anexo 1B se encuentra en el Anexo 1 (Descripción del tratamiento) de la presente DPA.
(C) La información requerida para el Anexo II se encuentra en https://mtechsystems.io/legal/security-measures/.
(D) La información requerida para el Anexo III se encuentra en la Sección 5 de este APD.
(b) En el Cuadro 4 de la Adenda del Reino Unido, tanto el importador como el exportador de datos podrán finalizar la Adenda del Reino Unido.
2. Estados Unidos de América
2.1 Aplicabilidad. Los siguientes términos se aplican cuando MTech procesa datos personales sujetos a las leyes de privacidad del estado de EE. UU.
2.2 Procesamiento en EE.UU. En la medida en que los datos personales del suscriptor incluyan información personal protegida por las leyes de privacidad del estado de EE.UU. que MTech procese como proveedor de servicios o procesador en nombre del suscriptor, MTech procesará dicha información personal de acuerdo con las leyes de privacidad del estado de EE.UU., incluido el cumplimiento de las secciones aplicables de las leyes de privacidad del estado de EE.UU. y proporcionando el mismo nivel de protección de la privacidad que exigen las leyes de privacidad del estado de EE.UU., y de acuerdo con las instrucciones documentadas del suscriptor, según sea necesario para los fines limitados y especificados identificados en la sección 6 del anexo 1 (Descripción del procesamiento) de este APD. MTech no:
(a) retener, utilizar, revelar o procesar de cualquier otro modo dicha información personal para un fin comercial distinto de los fines limitados y especificados identificados en la presente DPA, el Contrato de Suscripción y/o cualquier SOW pertinente, o para operaciones internas, mejora del servicio, seguridad, prevención del fraude, cumplimiento legal o la creación de datos desidentificados o agregados;
(b) "vender" o "compartir" dicha información personal en el sentido de la legislación sobre privacidad del Estado de EE.UU.; y
(c) retener, utilizar, revelar o procesar de cualquier otro modo dicha información personal fuera de la relación comercial directa con el Suscriptor y no combinar la información personal del Suscriptor con información personal que reciba de otras fuentes, excepto cuando sea necesario para prestar los Servicios de Suscripción o según lo permitan las leyes de privacidad del Estado de EE. UU.
2.3 Deber de informar. MTech informará al suscriptor si determina que ya no puede cumplir con sus obligaciones en virtud de las leyes de privacidad del estado de EE. UU.
2.4 Medidas razonables y apropiadas. El Suscriptor puede tomar medidas razonables y apropiadas para detener y remediar cualquier procesamiento no autorizado de la información personal del Suscriptor.
2.5 Datos no identificados. En la medida en que el suscriptor divulgue o ponga a disposición de MTech datos desidentificados o en la medida en que MTech cree datos desidentificados a partir de Datos del suscriptor e información personal, en cada caso en su calidad de proveedor de servicios, MTech:
(a) adoptar medidas razonables para impedir que dichos datos desidentificados se utilicen para deducir información sobre una persona física o un hogar concretos, o que se relacionen de otro modo con ellos;
(b) mantener dichos datos desidentificados de forma desidentificada y no intentar reidentificar los datos desidentificados, salvo que MTech pueda intentar reidentificar dichos datos con el único fin de determinar si sus procesos de desidentificación cumplen las leyes de privacidad del Estado de EE.UU.; y
(c) antes de compartir datos desidentificados con terceros, incluidos subencargados del tratamiento, contratistas u otros terceros, se asegurará de que dichos destinatarios estén obligados contractualmente a cumplir requisitos sustancialmente similares a los establecidos en la presente sección 2.
3. Brasil
3.1 Aplicabilidad de la LGPD. Las partes aseguran y garantizan que tratarán los datos personales de conformidad con la legislación aplicable, incluyendo pero no limitándose a la LGPD y cualquier otra legislación y normativa aplicable al tratamiento de datos personales cuyos efectos extraterritoriales afecten a las partes y/o a las transacciones incluidas por el Contrato de Suscripción con el único y exclusivo objetivo de ofrecer los servicios al Suscriptor.
3.2 Transferencias a Brasil. Cuando los datos personales protegidos por la LGPD se transfieran, directamente o mediante transferencia ulterior, a un país fuera de Brasil que no esté sujeto a una decisión de adecuación emitida por la Autoridad Nacional de Protección de Datos ("ANPD"), se aplicará lo siguiente:
(a) Los CCE brasileños se incorporan a este APD por referencia como sigue:
(i) El suscriptor es el "exportador de datos" y MTech es el "importador de datos".
(ii) Al suscribir el presente APD, se considera que cada una de las partes ha firmado las CEC brasileñas a partir de la fecha de inicio del Acuerdo de Suscripción.
(b) Los SCC brasileños están poblados de la siguiente manera:
(i) La Cláusula 1 (Identificación de las Partes) de las CEC se considerará completada con la información establecida en el Acuerdo de Suscripción.
(ii) La cláusula 2 (Objeto) de los CEC se considerará completada con la información establecida en el Anexo 1 del presente APD.
(iii) La cláusula 3 (Transferencias ulteriores) de los CEC se considerará completada con la información establecida en el Anexo 1 del presente APD.
(iv) Cláusula 4 (Responsabilidades de las Partes) de los CEC: Se aplicará la Opción A, y el exportador de datos será responsable de cumplir con las obligaciones establecidas en la cláusula 4.1 (a)-(c).
(v) La Sección III (Medidas de seguridad) de las CEC se considerará completada con la información establecida en la Sección 4 de la presente DPA.