(1) MEFERI Technologies Co., Ltd., una empresa constituida bajo las leyes de China, con domicilio social en 5F, A5, Tianfu Software Park, No. 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, República Popular China (“MEFERI”, “Procesador”, “Nosotros”, “Nos” o “Nuestro”); y

(2) El Cliente (“Cliente”, “Controlador” o “Usted”), la entidad legal que se ha suscrito o utiliza los Servicios de MEFERI según se define a continuación y ha aceptado los términos principales de servicio de MEFERI u otro acuerdo marco (“Acuerdo Principal”).

Este DPA forma parte integral del Acuerdo Principal y refleja el acuerdo de las partes con respecto al Procesamiento de Datos Personales por parte de MEFERI en nombre del Cliente en relación con los Servicios.

Al aceptar el Acuerdo Principal, o al acceder o utilizar los Servicios después de que este DPA se haya puesto a disposición, el Cliente celebra este DPA en nombre propio y, en la medida requerida por la Ley de Protección de Datos Aplicable, en nombre y en representación de sus Usuarios autorizados.

Si existe algún conflicto entre este DPA y el Acuerdo Principal, este DPA prevalecerá en la medida de dicho conflicto en relación con el Procesamiento de Datos Personales.

1. DEFINICIONES

1.1. «Acuerdo Principal» se refiere al acuerdo escrito principal (que puede denominarse Condiciones de Servicio, Condiciones Generales de Servicio, Acuerdo Marco de Servicios, Contrato de Servicio, Acuerdo de Suscripción o similar) celebrado entre el Cliente y MEFERI (o una Afiliada Contratante de MEFERI, según la Sección 18.4) para la prestación de los Servicios, incluyendo cualquier condición específica del plan de servicio (como «MeCare (Nombre del Plan): Condiciones Generales de Servicio») y cualquier formulario de pedido o declaración de trabajo ejecutada en virtud del mismo. Este DPA forma parte integral de dicho Acuerdo Principal.

1.2. “Ley de Protección de Datos Aplicable” significa todas las leyes y regulaciones aplicables al Procesamiento de Datos Personales bajo este DPA, incluyendo, entre otros, el RGPD y cualquier ley, regulación y legislación secundaria nacional de implementación, según se modifique o actualice periódicamente.

1.3. «Responsable del Tratamiento» tiene el significado establecido en el Artículo 4(7) del RGPD. A efectos del presente DPA, el Cliente es el Responsable del Tratamiento.

1.4. “Interesado” tiene el significado establecido en el Artículo 4(1) del RGPD.

1.5. “RGPD” significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

1.6. “Datos Personales” tiene el significado establecido en el Artículo 4(1) del RGPD y se limita a los Datos Personales Procesados por MEFERI en nombre del Cliente en la prestación de los Servicios como se describe con más detalle en el Apéndice 1.

1.7. “Violación de Datos Personales” tiene el significado establecido en el Artículo 4(12) del RGPD, específicamente una violación de la seguridad que resulte en la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a los Datos Personales del Cliente transmitidos, almacenados o procesados de otro modo por MEFERI.

1.8. «Tratamiento» tiene el significado establecido en el artículo 4(2) del RGPD. «Tratar» y «Tratado» se interpretarán en consecuencia.

1.9. “Procesador” significa MEFERI Technologies Co., Ltd., (MEFERI) o, cuando corresponda según la Sección 18.4 de este DPA, la parte afiliada de MEFERI contratante del Acuerdo principal con el Cliente.

1.10. “Servicios” se refiere a los productos y servicios prestados por MEFERI al Cliente en virtud del Contrato Principal, incluyendo, entre otros, la Solución en la Nube Shadowalk MDM/EMM de MEFERI, los componentes alojados en la nube de la solución ISA (Asistente Inteligente del Comprador) de MEFERI, donde MEFERI actúa como procesador, y cualquier servicio de soporte asociado (incluidos, entre otros, los servicios prestados en virtud de un contrato de servicios MeCare de MEFERI) en los que MEFERI procesa Datos Personales del Cliente. Para mayor claridad, los Servicios no incluyen las implementaciones locales del software de MEFERI donde el Procesamiento continuo de Datos Personales se realiza exclusivamente en el entorno del Cliente, excepto cuando MEFERI acceda a dichos sistemas para obtener soporte según las instrucciones del Cliente.

1.11. “Subprocesador” significa cualquier tercero contratado por MEFERI para procesar datos personales en nombre del Cliente en relación con los Servicios.

1.12. “Medidas Técnicas y Organizativas” o “MTO” se refiere a las medidas de seguridad implementadas por MEFERI para proteger los Datos Personales, como se describe con más detalle en el Apéndice 2.

1.13. “Soluciones de socios externos” se refiere al software o los servicios proporcionados por terceros que pueden integrarse o usarse junto con el hardware o los Servicios de MEFERI, como soluciones de pago (por ejemplo, WorldLine “Tap on Mobile”) o software de autoescaneo minorista (por ejemplo, 4MAX “Scan & Go”), donde el Cliente puede tener una relación contractual directa con dicho tercero.

2. ROLES Y RESPONSABILIDADES

2.1. Funciones de las partes: El Cliente es el Responsable del Tratamiento y MEFERI es el Encargado del Tratamiento de sus Datos Personales. Cada parte cumplirá con sus respectivas obligaciones conforme a la Ley de Protección de Datos Aplicable.

2.2. Obligaciones del Cliente como Responsable del Tratamiento: El Cliente declara y garantiza que:

a. Ha cumplido y continuará cumpliendo con todas las disposiciones aplicables de la Ley de Protección de Datos Aplicable con respecto a su Procesamiento de Datos Personales y cualquier instrucción de procesamiento que emita a MEFERI;

b. Es el único responsable de la exactitud, calidad y legalidad de los Datos Personales y de los medios por los cuales los obtuvo, incluyendo la obtención de todos los consentimientos necesarios, la entrega de todos los avisos necesarios y la existencia de una base legal válida para el Tratamiento de Datos Personales por parte de MEFERI de conformidad con este DPA y el Acuerdo Principal; y

c. Sus instrucciones a MEFERI para el Tratamiento de Datos Personales deberán cumplir con la Ley de Protección de Datos Aplicable.

2.3. Obligaciones de MEFERI como Encargado del Tratamiento: MEFERI deberá:

a. Tratar Datos Personales únicamente siguiendo instrucciones documentadas del Cliente, incluso en lo que respecta a las transferencias de Datos Personales a un tercer país o a una organización internacional, salvo que así lo exija la legislación de la Unión o de un Estado miembro a la que esté sujeta MEFERI. En tal caso, MEFERI informará al Cliente de dicho requisito legal antes del Tratamiento, salvo que dicha legislación prohíba dicha información por razones importantes de interés público (Artículo 28(3)(a) del RGPD). El Acuerdo Principal y este DPA constituyen las instrucciones documentadas del Cliente a MEFERI para el Tratamiento de Datos Personales.

b. Informar inmediatamente al Cliente si, en opinión de MEFERI, una instrucción infringe la Ley de Protección de Datos Aplicable (Artículo 28(3) del RGPD).

3. DETALLES DEL TRATAMIENTO

3.1. El objeto del Tratamiento, su duración, naturaleza y finalidad, los tipos de Datos Personales y las categorías de Titulares de los Datos se detallan en el Anexo 1 (Detalles del Tratamiento) del presente DPA.

4. CONFIDENCIALIDAD

4.1. MEFERI deberá garantizar que su personal autorizado para procesar datos personales se haya comprometido a la confidencialidad o esté sujeto a una obligación legal apropiada de confidencialidad (Artículo 28(3)(b) del RGPD).

5. SEGURIDAD DEL TRATAMIENTO

5.1. Teniendo en cuenta el estado de la técnica, los costes de implementación, la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, MEFERI implementará y mantendrá Medidas Técnicas y Organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, tal como se describe en el Apéndice 2 (Medidas Técnicas y Organizativas) (Artículo 28(3)(c) y Artículo 32 del RGPD).

5.2. MEFERI podrá actualizar o modificar los TOM de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en una degradación material de la seguridad general de los Servicios.

6. SUBTRATAMIENTO

6.1. Autorización general: El Cliente otorga a MEFERI autorización general por escrito para contratar subprocesadores para procesar datos personales en nombre del Cliente en relación con la prestación de los Servicios (Artículo 28(2) del RGPD).

6.2. Subencargados del Tratamiento y Notificación de Nuevos Subencargados: MEFERI mantendrá una lista de sus subencargados del tratamiento, la cual estará disponible para el Cliente previa solicitud o a través de la página web designada (véase el Apéndice 3). MEFERI informará al Cliente de cualquier cambio previsto en relación con la incorporación o sustitución de otros subencargados del tratamiento con al menos treinta (30) días naturales de antelación, brindándole así la oportunidad de oponerse a dichos cambios.

6.3. Objeción a nuevos subencargados: Si el Cliente tiene motivos razonables para oponerse a que MEFERI utilice un nuevo subencargado, deberá notificarlo por escrito a MEFERI con prontitud dentro de los diez (10) días hábiles siguientes a la recepción de la notificación. En caso de oposición, MEFERI hará todo lo razonablemente posible para poner a su disposición un cambio en los Servicios o recomendar un cambio comercialmente razonable en la configuración o el uso de los Servicios para evitar el Tratamiento de Datos Personales por parte del nuevo subencargado, sin que ello suponga una carga excesiva para el Cliente. Si MEFERI no puede poner a su disposición dicho cambio en un plazo razonable, que no superará los treinta (30) días naturales, el Cliente podrá rescindir la parte correspondiente de los Servicios que MEFERI no pueda prestar sin el uso del nuevo subencargado, notificándoselo por escrito.

6.4. Obligaciones del subencargado del tratamiento: MEFERI se asegurará de que cualquier subencargado del tratamiento que contrate esté sujeto a un contrato escrito u otro acto jurídico conforme a la legislación de la Unión o de los Estados miembros que imponga obligaciones de protección de datos que sean al menos equivalentes a las impuestas a MEFERI en virtud de este DPA, en particular proporcionando garantías suficientes para implementar medidas técnicas y organizativas apropiadas de tal manera que el tratamiento cumpla con los requisitos de la legislación de protección de datos aplicable (artículo 28(4) del RGPD).

6.5. Responsabilidad: MEFERI seguirá siendo plenamente responsable ante el Cliente del cumplimiento de las obligaciones de protección de datos de sus Subprocesadores.

7. DERECHOS DEL TITULAR DE LOS DATOS

7.1. Teniendo en cuenta la naturaleza del Tratamiento, MEFERI asistirá al Cliente implementando las medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de su obligación de responder a las solicitudes de ejercicio de los derechos del Titular de los Datos establecidos en el Capítulo III del RGPD (por ejemplo, derecho de acceso, rectificación, supresión, etc.) (Artículo 28(3)(e) del RGPD).

7.2. Si MEFERI recibe una solicitud directamente de un Interesado en relación con los Datos Personales del Cliente, MEFERI notificará de inmediato al Cliente dicha solicitud y no responderá al Interesado, salvo para confirmar que la solicitud se refiere al Cliente. El Cliente será responsable de responder a todas las solicitudes del Interesado.

8. ASISTENCIA AL RESPONSABLE DEL TRATAMIENTO

8.1. Teniendo en cuenta la naturaleza del Tratamiento y la información disponible para MEFERI, MEFERI prestará asistencia razonable al Cliente para garantizar el cumplimiento de sus obligaciones de conformidad con los artículos 32 a 36 del RGPD (Seguridad del Tratamiento, notificación de Violaciones de Datos Personales a la autoridad de control, comunicación de una Violación de Datos Personales al Titular de los Datos, Evaluación de Impacto de la Protección de Datos y consulta previa con la autoridad de control) (artículo 28(3)(f) del RGPD).

9. NOTIFICACIÓN DE VIOLACIÓN DE DATOS PERSONALES

9.1. Notificación al Cliente:

MEFERI deberá notificar al Cliente sin demora indebida, y en cualquier caso dentro de las cuarenta y ocho (48) horas, después de tener conocimiento de una violación de datos personales que afecte a los datos personales del Cliente (Artículo 28(3)(f) y Artículo 33(2) GDPR).

9.2. Dicha notificación deberá, en la medida de lo posible, describir:

a. La naturaleza de la violación de datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados, así como las categorías y el número aproximado de registros de datos personales afectados;

b. El nombre y los datos de contacto del Delegado de Protección de Datos de MEFERI u otro punto de contacto donde se pueda obtener más información;

c. Las probables consecuencias de la violación de datos personales; y

d. Las medidas adoptadas o propuestas por MEFERI para abordar la violación de datos personales, incluidas, cuando corresponda, las medidas para mitigar sus posibles efectos adversos.

9.3. Cuando no sea posible proporcionar toda la información simultáneamente, esta podrá facilitarse por fases sin demoras indebidas.

9.4. El Cliente es el único responsable de cumplir con sus obligaciones de notificación de violaciones de datos según la Ley de Protección de Datos Aplicable. La notificación o respuesta de MEFERI ante una violación de datos personales en virtud de esta Sección 9 no se interpretará como un reconocimiento por parte de MEFERI de cualquier culpa o responsabilidad con respecto a dicha violación.

10. SUPRESIÓN O DEVOLUCIÓN DE DATOS

10.1. A elección del Cliente, MEFERI eliminará o devolverá todos los Datos Personales al Cliente una vez finalizada la prestación de los Servicios relacionados con el Tratamiento, y eliminará las copias existentes, salvo que la legislación de la Unión o de los Estados miembros exija la conservación de los Datos Personales (Artículo 28(3)(g) del RGPD). Los plazos específicos de conservación y eliminación se establecerán en el Contrato Principal o según se acuerde de otro modo.

11. AUDITORÍAS E INSPECCIONES

11.1. MEFERI pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Artículo 28 del RGPD y permitir y contribuir a las auditorías, incluidas las inspecciones, realizadas por el Cliente u otro auditor designado por el Cliente (Artículo 28(3)(h) del RGPD).

11.2. Dichas auditorías se realizarán durante el horario laboral habitual de MEFERI, con previo aviso por escrito con una antelación razonable de no menos de treinta (30) días naturales, y no interferirán injustificadamente con las actividades comerciales de MEFERI. El Cliente y MEFERI acordarán mutuamente el alcance, el calendario y la duración de la auditoría.

11.3. El Cliente se asegurará de que cualquier auditor actúe bajo un acuerdo de confidencialidad por escrito. El Cliente asumirá sus propios costos y los de su auditor designado. Si la auditoría revela un incumplimiento sustancial de este DPA por parte de MEFERI, MEFERI asumirá los costos razonables de la auditoría, hasta un límite acordado mutuamente.

11.4. En la medida en que lo permita la ley, MEFERI podrá cumplir con sus obligaciones de auditoría proporcionando al Cliente las certificaciones pertinentes de un auditor externo independiente (por ejemplo, ISO 27001, SOC 2 Tipo II), o resúmenes de las mismas, sujeto a las obligaciones de confidencialidad correspondientes.

12. TRANSFERENCIAS INTERNACIONALES DE DATOS

12.1. MEFERI no transferirá Datos Personales a ningún país fuera del Espacio Económico Europeo (EEE) o un país considerado adecuado por la Comisión Europea según el Artículo 45 del RGPD sin garantizar que se implementen las garantías adecuadas según lo exige el Capítulo V del RGPD (por ejemplo, mediante la celebración de Cláusulas Contractuales Estándar aprobadas por la Comisión Europea).

12.2. Las ubicaciones principales de procesamiento de datos para los Servicios, específicamente donde MEFERI aloja los Datos Personales del Cliente en su infraestructura principal en la nube, se ubicarán dentro del Espacio Económico Europeo (EEE), utilizando la región eu-west-3 de Amazon Web Services (AWS) (París, Francia). En el Apéndice 3 se proporciona más información sobre los subencargados del tratamiento, incluidos los proveedores de infraestructura en la nube y sus ubicaciones.

12.3. Si MEFERI realiza una transferencia de Datos Personales a un Subencargado del Tratamiento en un tercer país (es decir, fuera del EEE o un país no considerado adecuado por la Comisión Europea) que no garantice un nivel de protección adecuado, MEFERI se asegurará de que dicha transferencia esté amparada por un mecanismo de transferencia adecuado conforme al Capítulo V del RGPD, como las Cláusulas Contractuales Tipo. Esto incluye las transferencias que puedan producirse si MEFERI utiliza los servicios de un subencargado del tratamiento cuya infraestructura o personal de soporte se encuentre en dichos terceros países, incluso si el lugar de tratamiento principal especificado en el apartado 12.2 se encuentra dentro del EEE.

13. USO DE SOLUCIONES DE SOCIOS EXTERNOS POR PARTE DE MEFERI

13.1. El Cliente reconoce que el hardware o los Servicios de MEFERI pueden utilizarse junto con Soluciones de Socios Externos (por ejemplo, soluciones de procesamiento de pagos en dispositivos CIAO o software específico de gestión minorista).

13.2. Si el Cliente decide utilizar dichas Soluciones de Socios Externos, podrá establecer una relación contractual directa con los proveedores de dichas soluciones. En tales casos, el proveedor externo podrá actuar como Responsable o Encargado del Tratamiento de los Datos Personales que gestiona en relación con sus servicios, según lo establecido en el acuerdo del Cliente con dicho tercero.

13.3. Este DPA rige únicamente el Tratamiento de Datos Personales por parte de MEFERI como Encargado del Tratamiento para el Cliente. No se aplica a las actividades de Tratamiento realizadas por proveedores de Soluciones de Socios Externos con los que el Cliente tenga una relación directa, a menos que dicho proveedor actúe como Subencargado del Tratamiento para MEFERI según la Sección 6 de este DPA.

14. RESPONSABILIDAD E INDEMNIZACIÓN

14.1. La responsabilidad de cada parte en virtud del presente DPA estará sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el Acuerdo Principal.

14.2. El Cliente indemnizará y eximirá de responsabilidad a MEFERI frente a cualquier reclamación, acción, reclamación de terceros, pérdida, daño y gasto (incluidos los honorarios legales razonables) en que incurra MEFERI como consecuencia del incumplimiento por parte del Cliente de sus obligaciones en virtud del presente DPA o de la Ley de Protección de Datos Aplicable.

15. PLAZO Y TERMINACIÓN

15.1. El presente DPA entrará en vigor en la fecha de entrada en vigor del Acuerdo Principal y permanecerá vigente hasta su terminación o vencimiento, o hasta que MEFERI deje de procesar datos personales en nombre del Cliente, lo que ocurra más tarde.

15.2. Las obligaciones de confidencialidad, eliminación/devolución de datos y cualquier disposición que por su naturaleza deba sobrevivir a la terminación, sobrevivirán a la terminación o expiración de este DPA.

16. CAMBIOS A ESTE DPA

16.1. MEFERI podrá modificar este DPA en cualquier momento publicando la versión modificada en su sitio web o notificando de otro modo al Cliente.

16.2. Si MEFERI realiza un cambio sustancial en este DPA, notificará al Cliente con suficiente antelación (por ejemplo, mediante correo electrónico a su contacto designado o mediante una notificación dentro de los Servicios). El uso continuado de los Servicios por parte del Cliente tras dicho plazo de notificación constituirá la aceptación del DPA modificado. Si el Cliente se opone a un cambio sustancial, podrá rescindir el Acuerdo Principal de conformidad con sus términos.

17. LEY APLICABLE Y RESOLUCIÓN DE CONTROVERSIAS

17.1. Ley aplicable: El presente DPA se regirá e interpretará de conformidad con las leyes estipuladas como ley aplicable en el Contrato Principal celebrado entre el Cliente y la entidad MEFERI parte de dicho Contrato Principal (“Entidad MEFERI Contratante”).

17.2. Resolución de disputas:

a. Las Partes se esforzarán por resolver cualquier disputa, controversia o reclamación derivada o relacionada con este DPA, su interpretación, validez, incumplimiento o terminación («Disputa») de forma amistosa mediante negociaciones de buena fe entre sus representantes autorizados. b. Si una Disputa no puede resolverse mediante negociación dentro de los treinta (30) días naturales siguientes a la notificación escrita de una Parte iniciando las negociaciones, dicha Disputa se resolverá de conformidad con el mecanismo de resolución de disputas (por ejemplo, arbitraje o procedimiento judicial) y la jurisdicción que se especifique en el Acuerdo Principal. c. En caso de que el Acuerdo Principal prevea arbitraje:

i. Dicho arbitraje será el mecanismo principal para resolver Disputas bajo este DPA. ii. A menos que se especifique lo contrario en el Acuerdo Principal, o si el Acuerdo Principal no se pronuncia sobre los detalles del arbitraje para asuntos relacionados con este DPA, las Partes acuerdan que dicha Disputa puede ser sometida a arbitraje administrado por una institución de arbitraje reconocida internacionalmente y acordada mutuamente (como la Corte de Arbitraje Internacional de Shenzhen (SCIA), el Centro de Arbitraje Internacional de Singapur (SIAC), o el Centro de Arbitraje Internacional de Hong Kong (HKIAC), o una institución apropiada dentro de la Unión Europea si la Entidad MEFERI Contratante es una filial con sede en la UE). iii. El arbitraje se llevará a cabo en inglés. La sede o lugar legal del arbitraje será el especificado en el Acuerdo Principal o, si no se especifica o si se acuerda mutuamente una ubicación diferente para una Disputa específica, una ubicación elegida por mutuo acuerdo de las Partes, o en ausencia de dicho acuerdo dentro de un período razonable, por la Entidad MEFERI Contratante. iv. El laudo arbitral será definitivo y vinculante para ambas Partes, sujeto a cualquier derecho de apelación permitido por las leyes de la sede del arbitraje por injusticia procesal o falta de jurisdicción.

d. Si el Contrato Principal especifica litigio judicial, los tribunales allí especificados tendrán jurisdicción, sujeto a la Sección 17.3 a continuación.

17.3. Consideraciones obligatorias sobre la Ley de Protección de Datos: a. Sin perjuicio de cualquier otra disposición del presente DPA o del Acuerdo Principal, cuando la Ley de Protección de Datos Aplicable (incluido, entre otros, el RGPD) otorgue al Interesado el derecho obligatorio de interponer un recurso ante los tribunales de su residencia habitual o lugar de trabajo, o del lugar donde se produjo la presunta infracción, o de presentar una reclamación ante una autoridad supervisora, dichos derechos no se verán afectados por los términos del presente DPA. b. Cuando sea aplicable el RGPD, MEFERI y el Cliente garantizarán que la elección de la ley o jurisdicción aplicable no impida que los Interesados se beneficien de las disposiciones obligatorias de la legislación del Estado miembro de la Unión Europea en el que residan.

17.4. Cumplimiento continuo: En espera de la resolución de una Disputa, las Partes continuarán cumpliendo con sus respectivas obligaciones bajo este DPA en la medida de lo posible, a menos que el DPA o el Acuerdo Principal se rescindan.

18. INFORMACIÓN DE CONTACTO / PROTECCIÓN DE DATOS

18.1. Encargado del tratamiento: MEFERI Technologies Co., Ltd. Dirección: 5F, A5, Tianfu Software Park, n.° 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, República Popular de China

– Correo electrónico para consultas sobre protección de datos: legal@meferi.com

18.2. Consultas sobre protección de datos y DPO (para MEFERI Technologies Co., Ltd.): Todas las consultas relacionadas con la protección de datos bajo este DPA deben dirigirse a la dirección de correo electrónico especificada para MEFERI Technologies Co., Ltd. en la Sección 18.1 anterior.

18.3. Representante en la UE de MEFERI Technologies Co., Ltd. (de conformidad con el artículo 27 del RGPD): Nombre del representante en la UE: MEFERI Poland Sp. z oo Dirección: Ul. Modelarska 18/2, 40-142 Katowice, Polonia Correo electrónico para consultas sobre protección de datos en la UE (para interesados y autoridades de control en la UE en relación con el tratamiento por parte de MEFERI Technologies Co., Ltd.): polonia@meferi.com

18.4. Tratamiento por parte de las Afiliadas de MEFERI: Cuando el Cliente suscriba un Acuerdo Principal con una afiliada de MEFERI Technologies Co., Ltd. (p. ej., MEFERI Poland Sp. z oo) («Afiliada Contratante de MEFERI»), y dicha Afiliada Contratante de MEFERI actúe como Encargada del Tratamiento de Datos Personales en virtud de dicho Acuerdo Principal:

a) Este DPA se aplicará a las actividades de procesamiento realizadas por el Afiliado Contratante de MEFERI, y todas las referencias a “MEFERI” o “Procesador” en este documento se considerarán como referencias a dicho Afiliado Contratante de MEFERI.

b) La información de contacto para consultas sobre protección de datos relacionadas con el tratamiento por parte de la Afiliada Contratante de MEFERI será la especificada en el Contrato Principal o la que la Afiliada Contratante de MEFERI comunique al Cliente. Para MEFERI Poland Sp. z oo, los datos de contacto son: Dirección: Ul. Modelarska 18/2, 40-142 Katowice, Polonia

Correo electrónico: polonia@meferi.com

Teléfono: +48 734-143-579

c) La ley aplicable y la resolución de disputas para este DPA en tales casos serán determinadas por el Acuerdo Principal con la Afiliada MEFERI Contratante.

19. ACUERDO COMPLETO

19.1. Este DPA, incluidos sus Apéndices, constituye el acuerdo completo entre las partes con respecto al objeto del mismo y reemplaza todos los acuerdos, propuestas o representaciones anteriores y contemporáneos, escritos u orales, relacionados con su objeto.

EN TESTIMONIO DE LO CUAL, las partes reconocen su conformidad con este Acuerdo de Procesamiento de Datos a partir de la Fecha de Vigencia del Acuerdo Principal o del uso de los Servicios por parte del Cliente.

—

APÉNDICE 1

DETALLES DEL TRATAMIENTO

Este Apéndice 1 forma parte del DPA y describe el Procesamiento de Datos Personales por parte de MEFERI en nombre del Cliente.

A. LISTA DE PARTES

Controlador(es) / Cliente(s):

La entidad legal que ha suscrito el Acuerdo Principal con MEFERI para la prestación de los Servicios. El Cliente determina los fines y medios del Tratamiento de Datos Personales.

Procesador(es) / MEFERI:

MEFERI Technologies Co., Ltd., o, cuando corresponda según la Sección 18.4 de este DPA, la parte afiliada de MEFERI contratante del Acuerdo principal con el Cliente, que proporciona los Servicios al Cliente.

B. DESCRIPCIÓN DEL TRATAMIENTO

1. Objeto del Tratamiento:

El procesamiento de datos personales en el contexto de la prestación, mantenimiento, soporte y mejora de los Servicios MEFERI suscritos por el Cliente bajo el Acuerdo principal, incluidos, entre otros, la solución en la nube MEFERI Shadowalk MDM/EMM y los componentes alojados en la nube de la solución CIAO Intelligent Shopper Assistant (ISA).

2. Duración del Tratamiento:

Durante la vigencia del Acuerdo Principal entre MEFERI y el Cliente, y hasta que todos los Datos Personales sean eliminados o devueltos de conformidad con la Sección 10 de la DPA.

3. Naturaleza y finalidad del tratamiento:

Para la solución en la nube MEFERI Shadowalk MDM/EMM: Para permitir al Cliente gestionar, proteger, supervisar y dar soporte remoto a su flota de dispositivos móviles. Esto incluye el aprovisionamiento de dispositivos, la gestión de la configuración, la gestión de aplicaciones, la aplicación de políticas de seguridad, el seguimiento de dispositivos (si el Cliente lo habilita), el diagnóstico remoto y la generación de informes sobre el estado y el uso de los dispositivos.

Para los componentes de ISA Cloud de MEFERI y CIAO (donde MEFERI es el Encargado): Facilitar el funcionamiento de la solución de asistente inteligente de compras para el Cliente (minorista). Esto puede incluir la autenticación de usuarios, la gestión de listas de compra, el procesamiento de información de productos, los datos de interacción del cliente (para análisis proporcionados al minorista) y la habilitación de integraciones con servicios de terceros según las indicaciones del Cliente.

– Contratos de servicio de MeCare: Para los servicios de MeCare de MEFERI (donde MEFERI actúa como procesador): Para proporcionar servicios contratados de soporte, mantenimiento, reparación, monitoreo y administración de dispositivos como se describe en los “MeCare (nombre del plan): Términos generales de servicio” aplicables y la Guía de servicios de soporte de MeCare, que pueden implicar el acceso, la recopilación o el procesamiento de otro modo de datos personales almacenados o transmitidos por los dispositivos del cliente, o proporcionados por el cliente en el curso de la prestación del servicio.

– Para servicios de soporte: Brindar soporte técnico, resolución de problemas, mantenimiento y actualizaciones para los Servicios, lo que puede implicar el acceso a Datos personales procesados dentro de los Servicios o en los sistemas del Cliente a pedido e instrucción del Cliente.

– Cumplir con las instrucciones documentadas del Cliente establecidas en este DPA y el Acuerdo Principal.

– Para cumplir con las obligaciones legales aplicables.

4. Categorías de interesados:

– Empleados, contratistas y usuarios autorizados del Cliente: Personas que administran o utilizan los Servicios en nombre del Cliente (por ejemplo, administradores de TI que utilizan Shadowalk, personal minorista que administra o utiliza CIAO).

– Usuarios finales de los dispositivos administrados por el Cliente (para Shadowalk): Personas (por ejemplo, empleados del Cliente) que utilizan computadoras móviles u otros dispositivos administrados por el Cliente a través de la solución Shadowalk.

– Clientes del cliente (compradores) (para CIAO, si MEFERI procesa sus Datos personales en un backend en la nube en nombre del Cliente minorista): Personas que utilizan los dispositivos ISA de CIAO en la tienda del minorista.

5. Tipos de datos personales procesados:

Los tipos específicos de Datos Personales Procesados dependerán de los Servicios que utilice el Cliente y de cómo los configure y utilice. Los Datos Personales pueden incluir:

– Cuenta de usuario e información de contacto: Nombre, dirección de correo electrónico, nombre de usuario, contraseñas, número de teléfono, puesto de trabajo, departamento, ID de empleado, función/permisos dentro de los Servicios (si corresponde para la administración del servicio por parte del Cliente).

– Información del dispositivo (para Shadowalk): identificadores del dispositivo (por ejemplo, número de serie, IMEI, dirección MAC, UDID), modelo del dispositivo, versión del sistema operativo, dirección IP, información de red, configuración del dispositivo, aplicaciones instaladas, datos de ubicación del dispositivo (si el cliente los habilita).

– Datos de uso y registro (para Shadowalk y la nube CIAO): registros del sistema, registros de auditoría, registros de actividad, datos de rendimiento, datos de diagnóstico relacionados con el uso de los Servicios.

– Datos del comprador (para CIAO, si corresponde): detalles de la cuenta del comprador (por ejemplo, ID de fidelidad, correo electrónico si lo proporciona el comprador para el registro a través de la aplicación del minorista en CIAO), listas de compras, historial de escaneo de productos, datos de interacción con el dispositivo CIAO.

– Datos de soporte: información proporcionada por el Cliente durante las interacciones de soporte, incluidos detalles de contacto, descripción de problemas, detalles de configuración del sistema y cualquier dato personal contenido en registros o archivos compartidos con MEFERI para la resolución de problemas.

– Cualquier otro dato personal que el Cliente (o sus usuarios autorizados o titulares de los datos) elija enviar a los Servicios.

6. Categorías especiales de datos personales (si las hubiera):

MEFERI no tiene intención de procesar ninguna categoría especial de datos personales (según se define en el artículo 9 del RGPD) en nombre del Cliente. El Cliente no cargará, proporcionará ni ordenará a MEFERI que procese ninguna categoría especial de datos personales a menos que lo acuerde explícitamente por escrito con MEFERI y con las garantías adecuadas. Si el Cliente proporciona dichos datos sin consentimiento previo, será el único responsable de garantizar una base legal válida para dicho procesamiento.

—

APÉNDICE 2

SEGURIDAD TÉCNICA Y ORGANIZATIVA MEASURES (TOMS)

Este Apéndice 2 describe las Medidas Técnicas y Organizativas implementadas por MEFERI para garantizar un nivel adecuado de seguridad en el Tratamiento de Datos Personales. MEFERI podrá actualizar estas medidas periódicamente, siempre que dichas actualizaciones no afecten significativamente la seguridad general de los Servicios.

1. Políticas y gobernanza de seguridad de la información:

a. MEFERI mantiene políticas y procedimientos internos diseñados para proteger los Datos Personales.

b. Se definen y asignan responsabilidades en materia de seguridad de la información.

c. Se realizan evaluaciones de riesgos periódicas para identificar y mitigar las amenazas a los Datos Personales.

2. Seguridad del personal:

a. Los empleados y contratistas con acceso a Datos Personales están sujetos a obligaciones de confidencialidad.

b. Se proporciona capacitación sobre concientización en seguridad al personal relevante con respecto a sus responsabilidades de seguridad y protección de datos.

c. Se podrán realizar verificaciones de antecedentes del personal que ocupe puestos sensibles, cuando lo permita la legislación aplicable.

3. Control de acceso físico:

a. Se han establecido medidas para evitar el acceso físico no autorizado a las instalaciones y locales de MEFERI donde se puedan procesar datos personales (por ejemplo, oficinas).

b. Esto incluye perímetros de seguridad, sistemas de control de acceso, vigilancia y registro del acceso físico cuando corresponda.

c. Para los centros de datos utilizados por MEFERI para los Servicios (es decir, los de su principal proveedor de servicios en la nube, Amazon Web Services – AWS), MEFERI confía en las sólidas medidas de seguridad física implementadas por AWS.

4. Control de acceso al sistema (acceso lógico):

a. El acceso a los sistemas informáticos que procesan Datos Personales está restringido al personal autorizado.

b. Se utilizan identificadores de usuario únicos y mecanismos de autenticación fuertes (por ejemplo, contraseñas complejas, autenticación multifactor cuando sea apropiado y factible).

c. Los derechos de acceso se otorgan según el principio del mínimo privilegio (control de acceso basado en roles).

d. Se realizan revisiones periódicas de los derechos de acceso.

e. Se utilizan protocolos seguros para el acceso remoto.

5. Control de acceso a los datos:

a. Se han establecido medidas para garantizar que las personas autorizadas a utilizar un sistema de procesamiento de datos puedan acceder únicamente a los Datos Personales a los que se refiere su derecho de acceso, de conformidad con sus funciones y responsabilidades asignadas.

b. Los Datos Personales no se leen, copian, modifican ni eliminan sin autorización durante el Procesamiento, el uso y después del almacenamiento, excepto cuando sea necesario para la prestación de los Servicios o según las instrucciones del Cliente.

c. Se implementa la segregación de funciones y datos cuando corresponde.

6. Control de transmisión:

a. Los Datos Personales están protegidos contra la lectura, copia, modificación o eliminación no autorizadas durante la transmisión o transporte electrónico.

b. Se utilizan tecnologías de cifrado (por ejemplo, Seguridad de la capa de transporte – TLS/Capa de sockets seguros – SSL para datos en tránsito) para proteger los Datos Personales transmitidos a través de redes públicas.

c. Se utilizan métodos seguros para la transferencia de medios físicos que contienen Datos Personales, si se producen dichas transferencias.

7. Control de entrada:

a. Se implementan medidas para garantizar que se pueda verificar y establecer posteriormente si se han ingresado, modificado o eliminado Datos Personales en los sistemas de procesamiento de datos y por quién (por ejemplo, mediante registros de auditoría).

b. Se implementan capacidades de registro y auditoría para actividades críticas del sistema relacionadas con el Procesamiento de Datos Personales.

8. Copia de seguridad y recuperación de datos:

a. Se realizan copias de seguridad periódicas de los Datos Personales Procesados dentro de los Servicios para garantizar la disponibilidad e integridad de los datos.

b. Los procedimientos de copia de seguridad y recuperación se definen y prueban periódicamente.

c. Las copias de seguridad se almacenan de forma segura.

9. Control de disponibilidad y resiliencia:

a. Los sistemas están diseñados y configurados para garantizar la disponibilidad de los Datos Personales y la resiliencia de los sistemas y servicios de procesamiento.

b. Esto incluye medidas como redundancia, tolerancia a fallos y capacidades de recuperación ante desastres, aprovechando principalmente la infraestructura del principal proveedor de servicios en la nube de MEFERI (Amazon Web Services – AWS).

10. Segregación de datos:

a. Los Datos Personales del Cliente están lógicamente separados de los datos de otros clientes de MEFERI dentro de los Servicios.

11. Desarrollo de software seguro (para las plataformas en la nube de MEFERI):

a. Las prácticas y principios de codificación segura se incorporan al ciclo de vida de desarrollo de software de MEFERI para sus plataformas en la nube.

b. Se realizan pruebas de seguridad (por ejemplo, escaneo de vulnerabilidades, pruebas de penetración) según corresponda para los Servicios.

c. Existen procedimientos para identificar, evaluar y remediar vulnerabilidades en el software de MEFERI.

12. Gestión de incidentes:

a. MEFERI mantiene un plan de respuesta a incidentes y procedimientos para detectar, responder y recuperarse de incidentes de seguridad, incluidas las violaciones de datos personales.

b. Los incidentes se investigan, se documentan y se toman las medidas correctivas apropiadas.

c. Se establecen planes de comunicación para notificaciones internas y externas según lo exige la Ley de Protección de Datos Aplicable y este DPA.

13. Gestión de subencargados del tratamiento:

a. Se realiza la debida diligencia antes de contratar a subprocesadores para garantizar que puedan proporcionar un nivel adecuado de protección de datos.

b. Existen acuerdos contractuales con subprocesadores que imponen obligaciones de protección de datos que son al menos equivalentes a las impuestas a MEFERI en virtud de este DPA.

14. Monitoreo y registro:

a. Los sistemas que procesan Datos Personales se monitorean para detectar eventos de seguridad y anomalías, cuando sea apropiado y factible.

b. Se recopilan y revisan los registros pertinentes según sea necesario para detectar, investigar y responder a incidentes de seguridad.

15. Cifrado:

a. El cifrado de datos personales en reposo se implementa cuando es apropiado y técnicamente factible (por ejemplo, para el almacenamiento de bases de datos que contienen datos personales confidenciales).

b. El cifrado de datos personales en tránsito a través de redes públicas se implementa utilizando protocolos estándar de la industria (por ejemplo, TLS).

*(El Cliente reconoce que las Medidas de Seguridad están sujetas al progreso y desarrollo técnico y que MEFERI puede actualizar o modificar las Medidas de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad general de los Servicios adquiridos por el Cliente).*

—

APÉNDICE 3

SUBPROCESADORES

El Cliente otorga a MEFERI una autorización general para utilizar las categorías de subencargados del tratamiento que se enumeran a continuación. MEFERI mantendrá una lista actualizada de sus subencargados, que se pondrá a disposición del Cliente mediante su publicación en una página web designada en el sitio web de MEFERI. https://meferi.com/en/us/legal/subprocessors ) y proporcionará esta lista al Cliente mediante solicitud por escrito al contacto de Protección de Datos de MEFERI (por ejemplo, legal@meferi.com ).

Categorías de subprocesadores y finalidad:

1. Proveedores de infraestructura en la nube: – Subprocesador y especificaciones para el alojamiento principal de los servicios prestados al cliente en virtud del acuerdo principal:

– Entidad: Amazon Web Services EMEA SARL (o la entidad contratante de AWS pertinente para los servicios prestados en el EEE).

– Finalidad: Proporcionar infraestructura de computación en la nube subyacente (servidores, almacenamiento, redes, bases de datos) para alojar los Servicios de MEFERI (por ejemplo, Shadowalk Cloud, backend de CIAO Cloud) proporcionados al Cliente según el Acuerdo principal.

– Ubicación del procesamiento de datos personales del cliente (alojamiento principal): la región principal de AWS para procesar datos personales del cliente bajo este DPA es eu-west-3 (París, Francia) dentro del Espacio Económico Europeo (EEE).

– Medidas de seguridad para la transferencia de datos: AWS proporciona un Anexo sobre Procesamiento de Datos (APD) que incluye Cláusulas Contractuales Tipo (CCT) para regular las transferencias de datos personales. Este documento se aplica si AWS procesa o transfiere datos a ubicaciones fuera del EEE que no estén cubiertas por una decisión de adecuación. El cliente puede consultar el Anexo sobre Procesamiento de Datos de AWS en  https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf e información sobre el cumplimiento del RGPD de AWS en  https://aws.amazon.com/compliance/gdpr-center/

Nota sobre las CDN (si corresponde): Si MEFERI utiliza AWS CloudFront o servicios de red de entrega de contenido (CDN) similares para mejorar el rendimiento de los Servicios, es posible que se almacenen temporalmente copias de ciertos datos (normalmente recursos estáticos o contenido en caché, que pueden incluir o no Datos Personales según la configuración) en ubicaciones de borde de AWS a nivel mundial. Sin embargo, el almacenamiento autorizado y el procesamiento principal de los Datos Personales del Cliente para los Servicios permanecerán en la región de AWS especificada anteriormente (eu-west-3). MEFERI garantizará que los Datos Personales del Cliente distribuidos a través de la CDN se gestionen de acuerdo con los requisitos del RGPD.

– Otros proveedores de infraestructura en la nube para los servicios prestados al cliente en virtud del acuerdo principal:

– En la actualidad, MEFERI no utiliza otros proveedores de infraestructura en la nube de terceros para el alojamiento principal o la prestación directa de los Servicios definidos en el Acuerdo Principal, más allá de lo descrito anteriormente.

2. Proveedores de servicios de comunicación:

– Finalidad: Facilitar las comunicaciones esenciales al Cliente o sus usuarios autorizados en relación con la prestación y el uso de los Servicios (por ejemplo, envío de correo electrónico para notificaciones de servicio, restablecimiento de contraseñas, alertas de seguridad y envío de SMS para alertas críticas o códigos de autenticación de dos factores).

– Subprocesadores específicos utilizados:

– Para comunicaciones por correo electrónico:

– Entidad: Amazon Web Services EMEA SARL (utilizando Amazon Simple Email Service – SES).

– Propósito específico de MEFERI: Para enviar notificaciones por correo electrónico transaccionales y relacionadas con el servicio a los usuarios autorizados del Cliente (por ejemplo, alertas de cuenta, restablecimientos de contraseñas, actualizaciones de servicio, información de seguridad crítica) en relación con los Servicios.

Ubicación del procesamiento: La infraestructura de envío de correo electrónico se ubica principalmente en las regiones de AWS que MEFERI utiliza para sus Servicios (por ejemplo, configurada para enviar desde una región del EEE como eu-west-1 Irlanda o eu-west-3 París, siempre que sea posible). El procesamiento de cualquier dato personal (como direcciones de correo electrónico y contenido de correo electrónico) a través de SES se rige por el Anexo de Procesamiento de Datos de AWS.

– Garantías de transferencia de datos: Cubierto por el Anexo de procesamiento de datos de Amazon Web Services, que incluye cláusulas contractuales estándar. Disponible.

en: https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf.

– Para comunicaciones SMS:

– Entidad: Twilio Inc.

– Propósito específico para MEFERI: Para enviar notificaciones SMS a los usuarios autorizados del Cliente como parte de los Servicios, como por ejemplo alertas críticas o entrega de códigos de autenticación de dos factores (2FA), si dichas funciones están habilitadas y son utilizadas por el Cliente.

– Naturaleza de los datos procesados: normalmente incluye números de teléfono de los usuarios autorizados del Cliente y el contenido de los mensajes SMS (por ejemplo, códigos de autenticación, texto de alerta).

– Ubicación del procesamiento: principalmente EE. UU.

Garantías para la transferencia de datos: Las transferencias de datos personales se rigen por el Anexo sobre Procesamiento de Datos de Twilio, que incorpora las Cláusulas Contractuales Tipo (CCT). El cliente puede consultar el APD de Twilio en: https://www.twilio.com/legal/data-protection-addendum.

– Otros proveedores de servicios de comunicación:

Actualmente, MEFERI no utiliza otros proveedores de servicios de comunicación externos para el tratamiento de los Datos Personales del Cliente en virtud de este DPA, salvo lo descrito anteriormente para correo electrónico y SMS. Si el Cliente introduce y acepta funciones específicas que requieran otros tipos de servicios de comunicación, MEFERI actualizará esta lista y se lo notificará de conformidad con la Sección 6.2 de este DPA.

3. Proveedores de análisis y monitorización del rendimiento del servicio:

Finalidad: Supervisar el rendimiento, identificar errores y analizar los patrones de uso de los Servicios de MEFERI (p. ej., Shadowalk Cloud, backend de CIAO Cloud) para mantener y mejorar la estabilidad, la funcionalidad y la experiencia del usuario. Los datos procesados por estos proveedores para los Servicios de MEFERI suelen estar seudonimizados, agregados o constan de datos técnicos/operativos. MEFERI no utiliza estos proveedores para analizar el contenido específico de los Datos Personales del Cliente dentro de los Servicios, a menos que se lo indique o acuerde explícitamente con el Cliente para fines de soporte o resolución de problemas.

– Subprocesadores específicos utilizados:

– Entidad: Functional Software, Inc. (que opera como Sentry).

– Propósito específico para MEFERI: Para seguimiento de errores en tiempo real, diagnóstico y monitoreo del rendimiento dentro de los servicios basados en la nube de MEFERI (Shadowalk Cloud, backend de CIAO Cloud) para ayudar a identificar y resolver problemas técnicos.

Naturaleza de los datos procesados: Generalmente incluye mensajes de error, seguimientos de pila, información del dispositivo/navegador, direcciones IP (que MEFERI puede configurar para que se anonimicen o no se almacenen cuando sea posible dentro de las capacidades de Sentry) y otros metadatos operativos relacionados con eventos de servicio. MEFERI configura su integración con Sentry para minimizar la captura de datos personales del cliente.

– Ubicación del procesamiento: principalmente EE. UU.

– Garantías para la transferencia de datos: Las transferencias se rigen por el Anexo de Procesamiento de Datos de Sentry, que incorpora las Cláusulas Contractuales Tipo. Disponible en: https://sentry.io/legal/dpa/

– Análisis de sitios web y portales (MEFERI como responsable del tratamiento):

Para las analíticas relacionadas con el sitio web corporativo de MEFERI (p. ej., meferi.com) y otros portales públicos propiedad de MEFERI donde MEFERI actúa como Responsable del Tratamiento de Datos, la información sobre los proveedores de analíticas (como Google Analytics) y el tratamiento de datos se describe en la Política de Privacidad general de MEFERI. Estos proveedores no figuran aquí como subencargados del tratamiento de datos en virtud de este DPA, a menos que también traten Datos Personales del Cliente en nombre de MEFERI en el contexto de los Servicios prestados al Cliente.

4. Herramientas de soporte y atención al cliente:

– Finalidad: Gestionar las consultas de soporte al cliente, prestar servicios de asistencia técnica y facilitar la comunicación relacionada con el soporte de los Servicios de MEFERI.

– Herramientas específicas utilizadas:

MEFERI utiliza su portal de atención al cliente y su sistema de tickets, accesibles en support.meferi.com. Este sistema es desarrollado y mantenido por MEFERI y está alojado en su infraestructura en la nube, proporcionada por Amazon Web Services (AWS), como se detalla en la Sección 1 (“Proveedores de Infraestructura en la Nube”) de este Apéndice.

– Los datos personales enviados por los usuarios autorizados del Cliente a través de este portal de soporte (por ejemplo, detalles de contacto, contenido de la consulta) se procesan dentro de este sistema operado por MEFERI.

MEFERI no utiliza actualmente proveedores externos de software como servicio (SaaS) para su plataforma de atención al cliente, donde se procesan los datos personales del cliente en virtud de este DPA. Procesamiento de datos y consentimiento del usuario en el portal de soporte:

– Los usuarios que accedan a support.meferi.com están sujetos a los términos de la Política de Privacidad de MEFERI y a cualquier Acuerdo de Usuario aplicable para el portal de soporte, que rigen la recopilación y el uso por parte de MEFERI de los Datos Personales enviados directamente por los usuarios al portal.

– Futura participación de proveedores externos:

– Si MEFERI decide contratar en el futuro proveedores de herramientas de soporte o servicio al cliente de terceros para procesar Datos Personales del Cliente, esta lista se actualizará y se notificará al Cliente de conformidad con la Sección 6.2 de este DPA.

5. Subcontratistas técnicos (por ejemplo, para desarrollo especializado, mantenimiento o pruebas de seguridad):

– En la actualidad, MEFERI realiza servicios técnicos especializados, desarrollo de software, mantenimiento de sistemas y pruebas de seguridad para sus Servicios (como MEFERI Shadowalk MDM/EMM Cloud Solution y componentes alojados en la nube de la solución CIAO Intelligent Shopper Assistant (ISA)) utilizando principalmente su personal interno.

– MEFERI actualmente no contrata a subcontratistas técnicos externos en una capacidad que les exigiría procesar datos personales del cliente en nombre de MEFERI bajo este DPA.

– Si MEFERI decide en el futuro contratar a dichos subcontratistas técnicos que procesarán datos personales del cliente, MEFERI actualizará esta lista de subprocesadores y notificará al cliente de conformidad con la Sección 6.2 de este DPA, asegurándose de que dicha contratación cumpla con los requisitos de subprocesamiento establecidos en este DPA, incluida la implementación de salvaguardas de transferencia de datos adecuadas cuando sea necesario.

6. Centros de Servicio de Reparación Autorizados y Proveedores Logísticos:

– Finalidad: Proporcionar servicios de reparación, diagnóstico, reacondicionamiento y logística relacionados con dispositivos para productos MEFERI según los contratos de servicio aplicables (como los planes de servicio MeCare) o términos de garantía.

– Entidad/Categoría: Centros de servicio externos autorizados o socios logísticos contratados por MEFERI o sus afiliados para realizar la reparación y el manejo de dispositivos MEFERI. (MEFERI mantiene una red de dichos proveedores autorizados; los detalles específicos del proveedor para una reparación determinada pueden depender de la ubicación del Cliente y la naturaleza de la solicitud de servicio).

– Naturaleza de los datos procesados: Pueden incluir:

– Datos de contacto de los representantes del Cliente que coordinan la reparación (nombre, correo electrónico, número de teléfono, dirección de envío).

– Identificadores del dispositivo (número de serie, modelo).

– Descripción de la incidencia facilitada por el Cliente.

Potencialmente, cualquier Dato Personal que permanezca en los dispositivos enviados a reparación si el Cliente no lo elimina o protege antes del envío. MEFERI indica a los Clientes que realicen una copia de seguridad o eliminen los Datos Personales de los dispositivos antes de enviarlos a reparación, y la responsabilidad de MEFERI por la pérdida de dichos datos está limitada según el Acuerdo Principal o las condiciones de servicio aplicables. Sin embargo, si el centro de reparación accede a dichos datos durante el diagnóstico o la reparación, se tratarán como Datos Personales del Cliente.

Ubicación del personal de procesamiento: Los centros de servicio de reparación pueden estar ubicados en varias regiones del mundo, incluso dentro del EEE, la República Popular China u otros países, según la ubicación del Cliente y la red de servicio de MEFERI. MEFERI proporcionará información sobre la ubicación del centro de reparación específico a solicitud o como parte del proceso de RMA cuando sea posible.

– Garantías de protección de datos: Todos los centros de servicio de reparación autorizados y proveedores de logística que accedan a los Datos Personales del Cliente están sujetos a acuerdos escritos con MEFERI (o la filial contratante de MEFERI) que incluyen obligaciones de confidencialidad y condiciones de tratamiento de datos que imponen requisitos de protección de datos al menos equivalentes a los establecidos en este DPA. Para cualquier transferencia de Datos Personales del Cliente a dichos proveedores ubicados fuera del Espacio Económico Europeo (EEE) en un país no considerado adecuado por la Comisión Europea, MEFERI garantiza la implementación de los mecanismos de transferencia adecuados según el Capítulo V del RGPD, como las Cláusulas Contractuales Tipo (CCT). El acceso a los Datos Personales en los dispositivos se limita a lo necesario para el diagnóstico y la reparación.