Ir al contenido principal

Acuerdos y términos

Políticas y lineamientos

Marcas comerciales y propiedad intelectual

Adquisiciones y proveedores

Protección de datos y privacidad

ACUERDO DE PROCESAMIENTO DE DATOS

Este Acuerdo de Procesamiento de Datos (“DPA”) es celebrado por el Cliente y Zendesk, Inc. (“Zendesk”), cada uno una “Parte” y juntos las “Partes”.

Cliente y Zendesk han celebrado el Acuerdo bajo el cual al Cliente se le proporciona acceso y uso de los Servicios durante el Plazo de Suscripción. Este DPA se incorpora y forma parte del Acuerdo. Si desea firmar electrónicamente el DPA, por favor haga clic aquí.

1. OBLIGACIONES GLOBALES DE PRIVACIDAD DE LAS PARTES

  1. Propiedad de los Datos de Servicio. Zendesk no afirma ningún derecho de propiedad o interés sobre los Datos de Servicio procesados en virtud de este DPA y, entre las Partes, los Datos de Servicio propiedad del Cliente siguen siendo propiedad del Cliente.
  2. Datos Personales. Las Partes acuerdan que la naturaleza, los propósitos, el Asunto, la duración del procesamiento, las categorías de Datos Personales o sujetos de datos, y los períodos de retención aplicables son como se describe en el Anexo I.
  3. Ley de Protección de Datos Aplicable. Zendesk y el cliente acuerdan cumplir con sus respectivas obligaciones de la Ley de Protección de Datos Aplicable.
  4. Obligaciones de Zendesk. Zendesk acepta:

    1. procesar Datos Personales de acuerdo con las instrucciones documentadas del cliente, a menos que la ley aplicable permita o requiera lo contrario. Zendesk informará al Cliente inmediatamente si sus instrucciones de procesamiento infringen la Ley de Protección de Datos Aplicable;

    2. no vender ni compartir Datos Personales;

    3. asegúrese de que todos los empleados y contratistas estén completamente conscientes de sus responsabilidades para proteger los Datos Personales bajo este DPA y hayan asumido una obligación contractual o legal adecuada de confidencialidad;

    4. notificar al Cliente si ya no puede cumplir con sus obligaciones bajo la Ley de Protección de Datos Aplicable y permitir al Cliente tomar medidas razonables y apropiadas para remediar el procesamiento no autorizado de Datos Personales;

    5. implementar y mantener medidas técnicas y organizativas apropiadas diseñadas para proteger los Datos Personales contra la destrucción, pérdida, alteración, divulgación o acceso accidental o ilegal, teniendo en cuenta la probabilidad y gravedad de los riesgos para los derechos de privacidad de los Asuntos de datos, incluidas las medidas en el Anexo II;

    6. notificar al Cliente de una violación confirmada de datos personales sin demora indebida y dentro de las 48 horas, a menos que lo prohíba la ley o una agencia gubernamental; tomar medidas apropiadas diseñadas para mitigar la(s) causa(s) de la violación de datos personales; y proporcionar al Cliente toda la información necesaria según lo requerido por la Ley de Protección de Datos Aplicable;

    7. asistir razonablemente al Cliente con su obligación de responder a las solicitudes de los Asuntos de datos y, si Zendesk recibe una solicitud directamente del Asunto de datos del Cliente, dirigir al Asunto de datos al Cliente a menos que la ley lo prohíba; y

    8. poner a disposición información y asistencia comercialmente razonable para Activar al Cliente a realizar cualquier evaluación de impacto de protección de datos o consulta con la autoridad de supervisión, según lo requerido por la Ley de Protección de Datos Aplicable.

  5. Obligaciones del cliente. Cliente, como controlador de datos, determina qué Datos Personales procesan los Servicios. El Cliente es responsable de evaluar las medidas técnicas y organizativas de Zendesk según corresponda para los tipos de Datos Personales que el Cliente desea procesar mediante su uso de los Servicios.

2. USO DE SUBPROCESADORES

  1. Subprocesadores. El cliente proporciona su autorización general por escrito para que Zendesk use Sub-procesadores, siempre que:

    1. Zendesk sigue siendo responsable ante el cliente por los actos u omisiones de sus subprocesadores con respecto a su procesamiento de Datos Personales; y

    2. cada Sub-procesador acepta proteger los Datos Personales de acuerdo con los estándares consistentes con los requisitos de este DPA.

  2. Actualizaciones de la política para subprocesadores. Zendesk actualizará la Política del Subprocesador con cualquier Subprocesador recientemente designado al menos 30 días antes de dicho cambio. El cliente puede registrarse para recibir notificaciones por correo electrónico de dichos cambios.
  3. Objeciones a la Política de Subprocesadores. El cliente puede objetar a cualquier Sub-procesador recién nombrado por motivos razonables relacionados con la protección de datos. Si el cliente objeta, informará a Zendesk por escrito enviando un correo electrónico a privacy@zendesk.com dentro de los 30 días siguientes a la actualización de la Política de Subprocesadores. En tal caso, las Partes negociarán, de buena fe, una solución a la objeción del Cliente. Si las Partes no pueden Reach una resolución dentro de los 60 días posteriores a la recepción de la objeción del cliente por parte de Zendesk, Zendesk, a su entera discreción, hará una de las siguientes opciones:

    1. indicar al Sub-procesador que no procese los Datos Personales del Cliente, y el DPA continuará sin afectarse, o

    2. permitir al Cliente rescindir cualquier parte afectada de los Servicios y proporcionar al Cliente un reembolso prorrateado de los Cargos de Suscripción pagados por adelantado por la parte afectada de los Servicios que aún no se hayan recibido a partir de la fecha de entrada en vigencia de la rescisión.

3. AUDITORÍA

  1. Auditores externos. Zendesk utiliza auditores externos independientes y calificados para verificar la adecuación de sus medidas de protección de datos y el cumplimiento de sus obligaciones en este DPA (por ejemplo, SOC 2 Tipo II o ISO 27001).
  2. Informe de auditoría. A solicitud por escrito del Cliente, Zendesk proporcionará al Cliente un Informe de Auditoría, sujeto a las disposiciones de confidencialidad del Acuerdo.
  3. Asistencia. En la medida en que los requisitos de auditoría del Cliente bajo la Ley de Protección de Datos Aplicable no se satisfagan razonablemente a través del Informe de Auditoría u otra documentación que Zendesk pone generalmente a disposición de sus clientes, y el Cliente no tenga acceso de otro modo a la información relevante, Zendesk asistirá razonablemente al Cliente.
  4. Auditoría. Si el cliente no puede cumplir con sus obligaciones de auditoría bajo la Ley de Protección de Datos Aplicable mediante la asistencia de Zendesk proporcionada en la Sección 3.3 y el cliente tiene el derecho de realizar una auditoría bajo la Ley de Protección de Datos Aplicable, el cliente puede solicitar dicha auditoría proporcionando al menos 30 días de aviso previo por escrito a privacy@zendesk.com. Dicha auditoría puede realizarse no más de una vez al año, debe llevarse a cabo durante las horas de trabajo normales con una duración razonable, no debe interferir con las operaciones de Zendesk y solo debe realizarse en la sede de Zendesk o en una oficina comercial acordada. Dicha auditoría no implicará el acceso a ningún dato relacionado con otros clientes de Zendesk, ni a instalaciones o sistemas seguros de ninguna manera que viole los controles de seguridad de Zendesk o haga que Zendesk viole sus obligaciones de confidencialidad con cualquier tercero. Cualquier información generada en conexión con dicha auditoría es Información Confidencial de Zendesk y será proporcionada prontamente a Zendesk. El cliente es responsable de los costos y gastos relacionados con cualquier auditoría que solicite más allá del Informe de Auditoría.

4. TRANSFERENCIAS INTERNACIONALES DE DATOS

  1. Transferencias internacionales de datos. El Cliente reconoce que es necesario para la prestación de los Servicios que Zendesk pueda procesar los Datos del Servicio a nivel global de conformidad con la Ley de Protección de Datos Aplicable. Si Zendesk realiza una transferencia de Datos Personales desde un país de origen a un país que no ha recibido una decisión de adecuación del país de origen, las transferencias se ajustarán a uno o más de los siguientes Mecanismos de Transferencia, aplicables a todos los Datos Personales, y en el siguiente orden:

    1. un mecanismo de certificación válido;

    2. Reglas Corporativas Vinculantes;

    3. SCC.

  2. Mecanismos de transferencia. Mecanismos de transferencia, selecciones de cláusulas y requisitos específicos de cada país, si corresponde, se detallan e incorporan por referencia en el Anexo III.
  3. Evaluación de Transferencia de Datos. El cliente reconoce que puede estar obligado a realizar una evaluación de transferencia de datos además de depender de los Mecanismos de Transferencia. Zendesk proporcionará asistencia razonable con esta evaluación si se solicita.
  4. Firma vinculante. El cliente reconoce que la firma del Acuerdo constituye la firma vinculante de los SCC y otros requisitos de firma establecidos en los Términos Específicos de la Región.

5. DEVOLUCIÓN Y DESTRUCCIÓN DE DATOS PERSONALES

A solicitud por escrito del cliente, Zendesk pondrá los Datos del Servicio a disposición del cliente para exportación o descarga según lo previsto en el Acuerdo. Zendesk borrará los Datos del Servicio de acuerdo con la Política de Borrado de Datos del Servicio de Zendesk.

6. SERVICIOS DE INNOVACIÓN

Todas las Secciones de este DPA se aplican a los Servicios de Innovación, excepto la Sección 3 (Auditoría), el Anexo II (Medidas de Seguridad Técnicas y Organizativas de Zendesk – Servicios de empresa), y el Anexo III, Secciones 1 y 2 (Reglas Corporativas Vinculantes y Marco de Privacidad de Datos).

7. CONFLICTOS

A menos que se acuerde lo contrario, los términos de este DPA tendrán prioridad sobre cualquier término contradictorio en el Acuerdo.

8. DEFINICIONES

Todos los términos utilizados en este DPA tendrán los significados que se les otorgan a continuación. Donde no se definan en este DPA, los términos “Sell”, “compartir”, “procesamiento”, “procesar”, “procesador”, “controlador”, “exportador de datos”, “importador de datos”, “Asunto de datos”, “violación de datos personales” (y términos similares), y “autoridad de supervisión” tendrán el mismo significado que en la Ley de Protección de Datos Aplicable. Cualquier término en mayúscula que no se defina de otro modo en este DPA es el que se define en el Acuerdo.

“Ley de Protección de Datos Aplicable” significa todas las leyes y regulaciones de protección de datos aplicables a cada parte en conexión con su respectivo procesamiento de Datos Personales bajo este Acuerdo.

“Informe de auditoría” significa un resumen confidencial de cualquier informe de certificación o auditoría para Servicios de empresa.

“Reglas Corporativas Vinculantes” significa (a) Reglas Corporativas Vinculantes de la UE – Procesador para transferencias de Datos Personales sujetas al Reglamento General de Protección de Datos (RGPD), o (b) Reglas Corporativas Vinculantes del Reino Unido – Procesador para transferencias de Datos Personales del Reino Unido.

“Programa de Recompensas por Errores” significa los términos en: https://support.zendesk.com/hc/en-us/articles/115002853607-Zendesk-Bug-Bounty-Program.

Página web de resiliencia empresarial https://support.zendesk.com/hc/en-us/articles/360022191434-Business-Continuity-and-Disaster-recovery.

“Datos Personales” significa cualquier dato personal relacionado, directa o indirectamente, con una persona natural identificada o identificable que se encuentre en los Datos del Servicio.

“Página de Estado” https://status.zendesk.com/.

“SCCs” significa cláusulas contractuales estándar aprobadas por una autoridad de supervisión como un Mecanismo de transferencia.

“Subprocesador” se refiere a cualquier procesador de datos externo contratado por Zendesk que reciba y procese Datos de Servicio de acuerdo con las instrucciones del Cliente (según lo comunicado por Zendesk) y los términos de su subcontrato escrito con Zendesk, según se indica en la Política de Subprocesadores.

“Política de Subprocesadores” significa la política en: https://support.zendesk.com/hc/en-us/articles/4408883061530-Sub-processor-Policy.

“Mecanismo de Transferencia” significa el(los) marco(s) que rigen el procesamiento internacional de Datos Personales descrito en el Anexo III.

ANEXO I

Detalles del tratamiento

Exportador de datos: Cliente

Datos de contacto: Proporcionado en el bloque de Firma del DPA.

Rol del exportador de datos: El cliente es un controlador (con respecto a Zendesk)

Importador de datos: Zendesk, Inc.

Datos de contacto: Proporcionado en el bloque de Firma del DPA

Rol del importador de datos: Zendesk es un procesador

  1. Naturaleza y propósito del procesamiento: Zendesk procesará los Datos Personales según lo especificado en el Acuerdo y para los propósitos determinados por el Cliente.
  2. Actividades de procesamiento: Las actividades de procesamiento incluirán el alojamiento y procesamiento de Datos Personales según lo instruido específicamente por el programa del Cliente o en el Acuerdo.
  3. Duración del procesamiento y retención: Zendesk procesará y retendrá los Datos Personales de manera continua durante el Plazo de la Suscripción. Zendesk borra los Datos Personales de acuerdo con la Política de Borrado de Datos del Servicio de Zendesk.
  4. Asuntos de datos: El cliente puede, a su entera discreción, enviar Datos Personales a los Servicios, que pueden incluir, pero no se limitan a: empleados (incluidos contratistas y empleados temporales), familiares de empleados, clientes, clientes potenciales, proveedores de servicios, socios comerciales, vendedores, Usuarios Finales, asesores (todos los cuales son personas físicas) del cliente y cualquier persona(s) física(s) autorizada(s) por el cliente para usar los Servicios.
  5. Categorías de Datos Personales: El Cliente puede procesar cualquier categoría de Datos Personales a su entera discreción utilizando los Servicios, que pueden incluir, pero no se limitan a, las siguientes categorías de Datos Personales: nombre y apellido, dirección de correo electrónico, título, puesto, empleador, información de contacto (empresa, correo electrónico, números de teléfono, dirección física), fecha de nacimiento, género, comunicaciones (grabaciones telefónicas, correo de voz, metadatos) e información de servicio al cliente.
  6. Categorías especiales de datos (si corresponde): Las categorías sensibles de datos que requieren un tratamiento especial bajo la Ley de Protección de Datos Aplicable pueden incluir Datos Personales a discreción del Cliente.

ANEXO II

Medidas de Seguridad Técnicas y Organizacionales de Zendesk – Servicios para Empresas

Las medidas técnicas y organizativas para proteger los Datos del Servicio para los Servicios de Empresa están contenidas en las Medidas de Seguridad Empresarial de Zendesk.

Zendesk se reserva el derecho de actualizar su programa de seguridad de vez en cuando; siempre que, sin embargo, cualquier actualización no reduzca sustancialmente las protecciones generales en este Anexo II.

  1. Programa de Seguridad de la Información y Equipo: El programa de seguridad de Zendesk incluye políticas y estándares documentados de salvaguardas administrativas, técnicas, físicas y organizativas, que rigen el manejo de los Datos de Servicio de conformidad con la ley aplicable. El programa de seguridad está diseñado para proteger la confidencialidad e integridad de los Datos del Servicio, de acuerdo con la naturaleza, alcance, contexto y propósitos del procesamiento y los riesgos involucrados en el procesamiento para los Asuntos de los datos. Zendesk mantiene un equipo de seguridad distribuido a nivel mundial en una llamada las 24 horas del día, los 7 días de la semana para responder a las alertas y eventos de seguridad.
  2. Certificaciones de seguridad: Zendesk tiene las siguientes certificaciones relacionadas con la seguridad de auditores externos independientes: SOC 2 Tipo II, ISO 27001:2013, o ISO 27018:2014.
  3. Controles de acceso físico: Zendesk toma medidas razonables, como personal de seguridad y edificios asegurados, para evitar que personas no autorizadas obtengan acceso físico a los Datos del Servicio y valida que terceros que operan Data Centers en nombre de Zendesk estén cumpliendo con dichos controles.
  4. Controles de acceso al sistema: Zendesk toma medidas razonables para evitar que los Datos de Servicio se utilicen sin autorización. Estos controles varían según la naturaleza del procesamiento realizado y pueden incluir, entre otros controles, autenticación mediante contraseñas y/o autenticación de dos factores, procesos de autorización documentados, procesos de administración de cambios documentados y/o registro de acceso en varios niveles.
  5. Controles de acceso a los datos: Zendesk toma medidas razonables para garantizar que los Datos del Servicio sean accesibles y manejables solo por personal debidamente autorizado, que el acceso directo a consultas a bases de datos esté restringido y que los derechos de acceso a aplicaciones se establezcan y apliquen para garantizar que las personas con derecho a usar un sistema de procesamiento de datos solo tengan acceso a los Datos del Servicio a los que tienen privilegios de acceso; y que los Datos del Servicio no puedan leerse, copiarse, modificarse o eliminarse sin autorización en el transcurso del procesamiento.
  6. Controles de transmisión: Zendesk toma medidas razonables para garantizar la capacidad de verificar y establecer qué entidades se transfieren a los Datos del Servicio por medio de instalaciones de transmisión de datos para que los Datos del Servicio no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante la transmisión o el transporte electrónico. Los datos del servicio se cifran en tránsito a través de redes públicas al comunicarse con las interfaces de usuario (UIs) de Zendesk y la interfaz de programación de aplicaciones (API) a través de HTTPS/TLS estándar de la industria (TLS 1.2 o superior). Las excepciones al cifrado en tránsito pueden incluir cualquier Producto de terceros que no admita cifrado, al cual el controlador de datos puede vincular a través de los Servicios de Empresa a su elección. Los Datos del Servicio están cifrados en reposo por el Subprocesador y proveedor de servicios gestionados de Zendesk, Amazon Web Services Inc., mediante AES-256.
  7. Controles de entrada: Zendesk toma medidas razonables para proporcionar la capacidad de verificar y establecer si los Datos del Servicio se han ingresado en sistemas de procesamiento de datos, modificado o eliminado, y por quién, y que cualquier transferencia de los Datos del Servicio a un proveedor de servicios externo se realiza a través de una transmisión segura.
  8. Separación lógica: Los datos de los diferentes entornos del Cliente de Zendesk se separan lógicamente en los sistemas administrados por Zendesk para garantizar que los Datos de Servicio recopilados por diferentes controladores se separen entre sí.
  9. Sin puertas traseras: Zendesk no ha incorporado puertas traseras ni otros métodos en los Servicios para permitir que las autoridades gubernamentales eludan sus medidas de seguridad para obtener acceso a los Datos del Servicio.
  10. Arquitectura y seguridad de Data Center: Zendesk aloja Datos de servicio principalmente en los Data Center de AWS que han sido certificados como conformes con ISO 27001, Nivel 1 de proveedor de servicios PCI DSS, y/o SOC2. Los servicios de infraestructura de AWS incluyen alimentación de reserva, sistemas de calefacción, ventilación y aire acondicionado (HVAC) y equipos de lucha contra incendios para ayudar a proteger los servidores y, en última instancia, los datos del Cliente. La seguridad en el sitio de AWS incluye una serie de destacares, como guardias de seguridad, cercas, asegurar alimentaciones, tecnología de detección de intrusiones y otras medidas de seguridad. Más detalles sobre los controles de AWS se pueden encontrar en: https://aws.amazon.com/security.
  11. Arquitectura y seguridad de red: Los sistemas de Zendesk están alojados en zonas acordes con su seguridad, dependiendo de la función, clasificación de la información y riesgo. La arquitectura de seguridad de red de Zendesk consiste en múltiples zonas con sistemas más sensibles, como servidores de bases de datos, en las zonas más confiables de Zendesk. Dependiendo de la zona, se aplicarán controles de acceso y monitoreo de seguridad adicionales. Las DMZ se utilizan entre el internet e internamente entre las diferentes zonas de confianza. La red de Zendesk está protegida mediante el uso de servicios de seguridad clave de AWS, auditorías regulares y tecnologías de inteligencia de red, que monitorean y/o bloquean el tráfico malicioso conocido y los ataques a la red. Zendesk utiliza el escaneo de seguridad de red para proporcionar una identificación rápida de sistemas potencialmente vulnerables, además del extenso programa de escaneo y pruebas Interno de Zendesk. Zendesk también participa en varios programas de intercambio de Inteligencia sobre amenazas para monitorear las amenazas publicadas en estas redes de Inteligencia sobre amenazas y tomar medidas basadas en el riesgo. Zendesk tiene un enfoque multicapa para la mitigación de DDoS, utilizando defensas de borde de red, junto con herramientas de escala y protección.
  12. Pruebas, monitoreo y registro: Cada año, Zendesk contrata a expertos en seguridad de terceros para realizar una amplia prueba de penetración en las redes de Production y corporativas de Zendesk. Zendesk utiliza un sistema de gestión de eventos de Incidente de seguridad (SIEM), el cual gathers registros de dispositivos de red importantes y sistemas de alojamiento. El SIEM alerta sobre Disparadores que notifican al equipo de Seguridad basándose en eventos correlacionados para su investigación y respuesta. Se instrumentan y monitorean los puntos de ingreso y egreso del servicio para detectar comportamientos anómalos, incluyendo la supervisión del sistema las 24 horas del día, los 7 días de la semana.
  13. Ubicación del alojamiento de datos: Zendesk ofrece a los clientes una opción para elegir dónde se aloja el Servicio de Datos si un cliente compra el complemento de Ubicación del centro de datos. Se proporciona una descripción completa de esta oferta en: https://support.zendesk.com/hc/en-us/articles/360053579674.
  14. Disponibilidad y continuidad: Zendesk mantiene una Página de Estado disponible públicamente, que incluye detalles sobre la disponibilidad del sistema, el mantenimiento programado, el historial de incidentes en el servicio y eventos de seguridad relevantes. Zendesk emplea agrupación de servicios y redundancias de red para eliminar puntos únicos de falla. Nuestro estricto régimen de copia de resguardo y/o la oferta del servicio de Recuperación ante desastres mejorada de Zendesk nos permite brindar un alto nivel de disponibilidad del servicio, ya que los Datos de servicio se replican entre zonas disponibles. El programa de Recuperación ante Desastres de Zendesk garantiza que los Servicios de Zendesk permanezcan disponibles y sean fácilmente recuperables en el caso de un desastre, mediante la construcción de un entorno técnico robusto. Hay detalles adicionales disponibles en la página web de resiliencia empresarial de Zendesk.
  15. Seguridad de Personas: Zendesk realiza verificaciones de antecedentes previas al empleo de todos los empleados, incluyendo la verificación de educación y empleo, de acuerdo con las leyes locales aplicables. Empleados reciben entrenamiento de seguridad al ser contratados y, posteriormente, anualmente. Los empleados están obligados por acuerdos de confidencialidad escritos a mantener la confidencialidad de los datos.
  16. Administrar proveedores: Zendesk utiliza proveedores externos para proporcionar ciertos aspectos de los Servicios. Zendesk completa una evaluación de riesgos de seguridad de los proveedores potenciales.
  17. Bug Bounty: Zendesk mantiene un Programa de Recompensas por Errores para permitir a los investigadores de seguridad independientes informar vulnerabilidades de seguridad de manera continua.

Medidas de Seguridad Técnica y Organizacional de Zendesk – Servicios de Innovación

Las medidas técnicas y organizativas para proteger los Datos de Servicio para los Servicios de Innovación se encuentran en las Medidas de Seguridad de Innovación de Zendesk.

El programa de seguridad de la información de Zendesk incluye políticas o estándares documentados que rigen el manejo de los Datos de Servicio en cumplimiento con la ley aplicable, y salvaguardas administrativas, técnicas y físicas diseñadas para proteger la confidencialidad e integridad de los Datos de Servicio. Zendesk se reserva el derecho de actualizar su programa de seguridad de vez en cuando; siempre que, sin embargo, cualquier actualización no reduzca sustancialmente las protecciones generales en este Anexo II.

  1. Controles de acceso físico: Zendesk toma medidas razonables para evitar que personas no autorizadas obtengan acceso físico a los Datos del Servicio.

  2. Controles de acceso del sistema: Zendesk toma medidas razonables para evitar que los Datos de Servicio se utilicen sin autorización.

  3. Controles de acceso a datos: Zendesk toma medidas razonables para garantizar que los Datos del Servicio sean accesibles y administrables solo por el personal debidamente autorizado.

  4. Controles de transmisión: Zendesk toma medidas razonables para garantizar la capacidad de verificar y establecer a qué entidades se transfieren los Datos del Servicio por medio de instalaciones de transmisión de datos para que los Datos del Servicio no puedan leerse, copiarse, modificarse o eliminarse sin autorización durante la transmisión o el transporte electrónico.

  5. Controles de entrada: Zendesk toma medidas razonables para establecer que es posible verificar y establecer si los Datos del Servicio se han ingresado en sistemas de procesamiento de datos, modificado o eliminado, y quién los ha ingresado, y que cualquier transferencia de Datos del Servicio a un proveedor de servicios externo se realiza a través de una transmisión segura.

  6. Separación lógica: Los datos de los diferentes entornos del Cliente de Zendesk se separan lógicamente en los sistemas administrados por Zendesk para garantizar que los Datos de Servicio recopilados por diferentes controladores se separen entre sí.

  7. Políticas de seguridad y personal: Zendesk tiene y mantendrá un programa de seguridad administrado para identificar riesgos e implementar tecnología preventiva, así como tecnología y procesos para mitigar ataques comunes. Zendesk cuenta con, y mantendrá, un equipo de seguridad de la información de tiempo completo responsable de proteger las redes, los sistemas y los servicios de Zendesk, y de desarrollar y brindar capacitación a los empleados de Zendesk de conformidad con las políticas de seguridad de Zendesk.

ANEXO III

Mecanismos de Transferencia y Términos Específicos de la Región

Zendesk utiliza varios mecanismos de transferencia que rigen la transferencia internacional de Datos Personales, dependiendo de la jurisdicción de los Datos Personales que se Procesan. Términos adicionales específicos de privacidad en los Términos específicos de la región se incorporan según corresponda.

1. Reglas Corporativas Vinculantes

Zendesk, sus filiales y Subprocesadores cumplen con los requisitos de las Normas Corporativas Vinculantes de Zendesk, que han sido aprobadas por la Comisión de Protección de Datos de Irlanda y la Oficina de la Comisión de Información del Reino Unido y están disponibles en el Centro de Fideicomiso de Zendesk en: https://www.zendesk.com/trust-center/.

2. Marco de Privacidad de Datos

Zendesk ha certificado su participación y cumplimiento con la EU-U.S. Marco de Privacidad de Datos ("UE-EE. UU.) la extensión del Reino Unido al Marco de Privacidad de Datos de la UE-EE. UU. DPF, y el Marco de Privacidad de Datos de Suiza-EE. UU. Marco de Privacidad de Datos ("Suiza-EE. UU. DPF”) (ver: https://www.dataprivacyframework.gov/s/). Zendesk se compromete a mantener la autocertificación de cumplimiento con la EU-U.S. la extensión del Reino Unido al Marco de Privacidad de Datos de la UE-EE. UU., DPF, y el Marco de Privacidad de Datos de Suiza-EE. UU. DPF, o cualquier marco de reemplazo, para los Servicios prestados en virtud del Contrato y este DPA.

3. SCC

  1. Zendesk también utiliza las cláusulas contractuales estándar adoptadas por la Comisión Europea que se indican en el Anexo de la Decisión de Ejecución 2021/914 de la Comisión Europea del 4 de junio de 2021, disponible en: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32021D0914 (“Cláusulas Contractuales Estándar de la UE”), y el Anexo Internacional de Transferencia de Datos del Reino Unido a las Cláusulas Contractuales Estándar de la Comisión de la UE, disponible en: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf (“Anexo del Reino Unido”). Las partes reconocen que los SCC se incorporan a este DPA como si se establecieran en su totalidad a continuación. Estos vínculos pueden ser actualizados de vez en cuando según las actualizaciones de las autoridades regulatorias y serán actualizados mediante una enmienda a este DPA.

  2. En la medida en que las SCC sean publicadas y requeridas por una autoridad de supervisión que no sean las SCC de la UE, las partes las interpretan como completado de manera consistente con las selecciones en la subsección (e).

  3. En caso de conflicto o ambigüedad, los términos de los SCC prevalecerán sobre el DPA y todos los demás términos entre Zendesk y el cliente.

  4. Donde las SCC de la UE son reconocidas por una autoridad de supervisión local como un Mecanismo de Transferencia, se aplican a todos los Datos Personales sujetos a esa autoridad y se considerarán completados de la manera especificada en la subsección (e).

  5. SCC de la UE. Donde se utilizan las SCC de la UE como un Mecanismo de Transferencia, se consideran completadas de la siguiente manera:

    1. Módulo 2 (Controlador al Procesador) se aplicará cuando el Cliente sea un controlador de los Datos de Servicio y Zendesk sea un procesador de los Datos de Servicio; Módulo 3 (Procesador al Procesador) se aplicará cuando el Cliente sea un procesador de los Datos de Servicio y Zendesk sea un procesador de los Datos de Servicio;

    2. en la Cláusula 7, la cláusula de acoplamiento opcional no se aplicará;

    3. en la Cláusula 9(a), la Opción 2 “Autorización Escrita General” se aplicará, y el periodo de tiempo para el aviso previo de cambios de Subprocesador como se indica en la “Sección de Uso de Subprocesadores” de este DPA;

    4. en la Cláusula 11, el lenguaje opcional no se aplicará;

    5. en la Cláusula 17, la Opción 1 se aplicará y se regirá por las leyes establecidas en el Contrato, o por las leyes de Irlanda si no se aplica ninguna ley estatal miembro del EEE, o por las leyes del importador cuando ninguna se aplique;

    6. en la Cláusula 18(b), las disputas serán resueltas ante los tribunales en el siguiente orden de precedencia: (1) según lo estipulado en el Acuerdo, (2) Dublín, Irlanda, si no se aplica ningún estado miembro del EEE, (3) el país del Cliente con jurisdicción sobre la sede central del Cliente, (4) la dirección de la oficina registrada de Zendesk;

    7. en el Anexo I.A y I.B y el Anexo II de las SCC de la UE se consideran completados con la información enumerada en los Anexos I y II de este DPA; y

    8. en el Anexo I.C de SCC, la autoridad supervisora será la autoridad competente con respecto al exportador de datos. Cuando el exportador de datos no está establecido en el país local pero aún se encuentra dentro del ámbito territorial de la Ley de Protección de Datos Aplicable, la autoridad de supervisión competente estará ubicada donde el exportador de datos haya designado un representante, pero si no ha designado un representante, entonces la autoridad de supervisión de Irlanda será la autoridad competente.

  6. Adenda del Reino Unido. Donde aplique el Anexo del Reino Unido, se considerará completado como sigue:

    1. Tabla 1, se considera completada con la información establecida en el Anexo I de este DPA, cuyo Contenido es acordado por las Partes;

    2. Tabla 2, las Partes seleccionan la casilla que dice: “Los SCC de la UE aprobados, incluida la Información del Apéndice y con solo los siguientes módulos, cláusulas o disposiciones opcionales de los SCC de la UE aprobados puestos en efecto para los propósitos de este Anexo”, y la tabla adjunta se consideran completados de acuerdo con las preferencias de las Partes descritas en este Anexo;

    3. Tabla 3, se considera completado con la información indicada en el Anexo I, Anexo II y como se indica en la “Sección de Uso de Sub-procesadores” de este DPA; y

    4. Tabla 4, las Partes acuerdan que ninguna Parte puede terminar el Adendum del Reino Unido como se indica en la Sección 19.