Acuerdo de Tratamiento de Datos (DPA)

El presente DPA se celebra entre DivetIQ (el "Encargado del tratamiento"), con domicilio social en 2810 N Church St, STE 88941, Wilmington, DE 19802, United States, y la entidad Cliente que haya firmado un Pedido o contratado de cualquier otro modo el uso de los Servicios DivetIQ (el "Responsable del tratamiento").

El Responsable determina los fines y medios del tratamiento de los Datos personales; DivetIQ trata los Datos personales únicamente sobre la base de instrucciones documentadas del Responsable, según se describe en este DPA.

"Datos personales", "tratamiento", "interesado", "responsable del tratamiento", "encargado del tratamiento" y "autoridad de control" tienen el significado que se les atribuye en el RGPD. "Datos del Cliente" son los datos, incluidos los Datos personales, presentados por el Responsable o en su nombre a los Servicios DivetIQ. "Subencargado" es cualquier tercero contratado por DivetIQ para tratar Datos personales en nombre del Responsable.

DivetIQ tratará los Datos personales en nombre del Responsable únicamente para prestar los Servicios descritos en el Acuerdo, incluido el soporte y la respuesta a incidentes de seguridad. El objeto, la duración, la naturaleza y la finalidad del tratamiento, los tipos de Datos personales y las categorías de interesados se describen en el Anexo I.

DivetIQ tratará los Datos personales únicamente conforme a instrucciones documentadas del Responsable, salvo que la ley aplicable a DivetIQ exija lo contrario. Si DivetIQ considera que una instrucción infringe el RGPD u otras leyes de protección de datos, informará al Responsable sin demora indebida.

DivetIQ garantiza que el personal autorizado a tratar Datos personales se ha comprometido a la confidencialidad o está sujeto a una obligación legal de confidencialidad adecuada. El acceso a los Datos personales se restringe según el principio de necesidad de conocer.

DivetIQ implementa medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado al riesgo, entre ellas:

• Cifrado de los Datos personales en reposo mediante AES-256 y en tránsito mediante TLS 1.3.
• Gestión de la seguridad de la información alineada con ISO 27001 y SOC 2 Type II.
• Control de acceso basado en roles con extensiones por atributos para reglas a nivel de fila, columna y campo.
• Registros de auditoría inmutables y de solo añadido, conservados conforme a los requisitos legales.
• Pruebas de penetración, escaneo de vulnerabilidades, WAF y protección DDoS.
• Continuidad de negocio, recuperación ante desastres y copias de seguridad probadas con regularidad.
• Un proceso de respuesta a incidentes documentado con cobertura 24/7.

En el Anexo II figura una versión actualizada de las medidas técnicas y organizativas de DivetIQ; también está disponible en el Customer Trust Center.

El Responsable autoriza con carácter general que DivetIQ contrate Subencargados. DivetIQ mantiene una lista actualizada de Subencargados en el Customer Trust Center y notificará cualquier cambio previsto con al menos treinta (30) días de antelación a su entrada en vigor, dando al Responsable la oportunidad de oponerse por motivos razonables de protección de datos.

DivetIQ impone a cada Subencargado obligaciones de protección de datos no menos protectoras que las del presente DPA y sigue siendo responsable ante el Responsable del cumplimiento de las obligaciones de cada Subencargado.

DivetIQ ofrece herramientas operativas que permiten al Responsable atender solicitudes de los interesados en materia de acceso, rectificación, supresión, limitación, portabilidad y oposición, incluido el soporte para DSAR, derecho al olvido y gestión del consentimiento. Cuando DivetIQ reciba una solicitud directamente de un interesado, la remitirá al Responsable sin demora indebida y no responderá salvo por instrucción del Responsable.

DivetIQ notificará al Responsable sin demora indebida y, en cualquier caso, dentro de las setenta y dos (72) horas, tras tener conocimiento de una Violación de Datos personales que afecte a los Datos del Cliente. La notificación incluirá la información razonablemente necesaria para que el Responsable cumpla sus propias obligaciones de notificación con arreglo a la ley aplicable.

Considerando la naturaleza del tratamiento y la información disponible para DivetIQ, DivetIQ prestará asistencia razonable al Responsable en la realización de evaluaciones de impacto relativas a la protección de datos y en la consulta a las autoridades de control cuando lo exijan los Artículos 35 y 36 del RGPD.

Cuando se transfieran Datos personales fuera del Espacio Económico Europeo, el Reino Unido o Suiza a un país que no haya sido objeto de una decisión de adecuación, la transferencia se regirá por las Cláusulas Contractuales Tipo de la Comisión Europea (Módulo Dos: de Responsable a Encargado), el Addendum británico de transferencia internacional de datos y mecanismos equivalentes, junto con medidas técnicas y organizativas suplementarias.

A petición, el Cliente puede seleccionar residencia de datos limitada a la UE.

DivetIQ pone a disposición del Responsable toda la información razonablemente necesaria para demostrar el cumplimiento del presente DPA. Bajo confidencialidad y a petición, DivetIQ proporciona informes anuales de auditoría de terceros (incluyendo certificados SOC 2 Type II e ISO 27001). Cuando la ley imperativa lo exija, el Responsable podrá realizar una auditoría como máximo una vez al año, con aviso previo razonable y en horario laboral, de forma que no interfiera de manera irrazonable con las operaciones de DivetIQ.

Al terminar o vencer el Acuerdo, DivetIQ devolverá o eliminará, a elección del Responsable, todos los Datos personales en un plazo de treinta (30) días, salvo que la ley aplicable exija su conservación. El Responsable reconoce que pueden conservarse copias de seguridad por un periodo limitado de acuerdo con el calendario de conservación documentado de DivetIQ y están sujetas a las mismas protecciones de este DPA.

Los Datos del Cliente nunca se utilizan para entrenar modelos de IA compartidos ni de terceros. Las funcionalidades de IA que operan sobre los Datos del Cliente se despliegan en el tenant del Responsable o se ejecutan como inferencia sin estado contra un contexto por tenant que no se conserva con fines de entrenamiento. Cuando se utilicen decisiones automatizadas que produzcan efectos jurídicos o similares, el Responsable es responsable de implementar las salvaguardas exigidas por el Artículo 22 del RGPD y otras leyes aplicables (incluido el Reglamento de IA de la UE).

Objeto: prestación de la plataforma headless DivetIQ y los Servicios relacionados.

Duración: durante la vigencia del Acuerdo y cualquier periodo posterior a la terminación necesario para devolver o eliminar los Datos personales.

Naturaleza y finalidad: alojamiento, almacenamiento, transmisión, analítica y operaciones asistidas por IA sobre los Datos del Cliente, según las instrucciones del Responsable mediante la configuración de los Servicios.

Categorías de interesados: empleados, contratistas, clientes, proveedores, candidatos y otras personas del Responsable cuyos datos se carguen en los Servicios o se traten mediante ellos.

Categorías de Datos personales: identificadores, datos de contacto, datos laborales, datos financieros y de compras, datos de relación con clientes, y otras categorías que el Responsable decida tratar a través de los Servicios.

DivetIQ implementa las medidas de seguridad descritas en la Sección 6 (Medidas de seguridad) del presente DPA. Se mantiene una descripción detallada y actualizada en el Customer Trust Center, que se va actualizando conforme evoluciona nuestra postura de seguridad. Las reducciones materiales de estas medidas se notificarán con antelación.

Las preguntas sobre este DPA pueden enviarse a dpo@divetiq.com o por correo postal a 2810 N Church St, STE 88941, Wilmington, DE 19802, United States.