{"id":3865,"date":"2025-08-14T14:23:55","date_gmt":"2025-08-14T11:23:55","guid":{"rendered":"https:\/\/meferi.pontima.ru\/?page_id=3865"},"modified":"2025-11-01T11:49:20","modified_gmt":"2025-11-01T10:49:20","slug":"data-processing-agreement","status":"publish","type":"page","link":"https:\/\/meferi.com\/es\/support-services\/legal-center\/data-processing-agreement\/","title":{"rendered":"Acuerdo de procesamiento de datos"},"content":{"rendered":"
<\/div><\/div><\/div>
\r\n\t
\r\n\t\t
\r\n\t\t\t

Acuerdo de procesamiento de datos<\/span><\/h1>\n
Este Acuerdo de Procesamiento de Datos (\u201cAPD\u201d) se celebra entre:<\/div>\n
\n
\n


(1) MEFERI Technologies Co., Ltd., una empresa constituida bajo las leyes de China, con domicilio social en 5F, A5, Tianfu Software Park, No. 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, Rep\u00fablica Popular China (\u201cMEFERI\u201d, \u201cProcesador\u201d, \u201cNosotros\u201d, \u201cNos\u201d o \u201cNuestro\u201d); y

(2) El Cliente (\u201cCliente\u201d, \u201cControlador\u201d o \u201cUsted\u201d), la entidad legal que se ha suscrito o utiliza los Servicios de MEFERI seg\u00fan se define a continuaci\u00f3n y ha aceptado los t\u00e9rminos principales de servicio de MEFERI u otro acuerdo marco (\u201cAcuerdo Principal\u201d).

Este DPA forma parte integral del Acuerdo Principal y refleja el acuerdo de las partes con respecto al Procesamiento de Datos Personales por parte de MEFERI en nombre del Cliente en relaci\u00f3n con los Servicios.

Al aceptar el Acuerdo Principal, o al acceder o utilizar los Servicios despu\u00e9s de que este DPA se haya puesto a disposici\u00f3n, el Cliente celebra este DPA en nombre propio y, en la medida requerida por la Ley de Protecci\u00f3n de Datos Aplicable, en nombre y en representaci\u00f3n de sus Usuarios autorizados.

Si existe alg\u00fan conflicto entre este DPA y el Acuerdo Principal, este DPA prevalecer\u00e1 en la medida de dicho conflicto en relaci\u00f3n con el Procesamiento de Datos Personales.

1. DEFINICIONES

1.1. \u00abAcuerdo Principal\u00bb se refiere al acuerdo escrito principal (que puede denominarse Condiciones de Servicio, Condiciones Generales de Servicio, Acuerdo Marco de Servicios, Contrato de Servicio, Acuerdo de Suscripci\u00f3n o similar) celebrado entre el Cliente y MEFERI (o una Afiliada Contratante de MEFERI, seg\u00fan la Secci\u00f3n 18.4) para la prestaci\u00f3n de los Servicios, incluyendo cualquier condici\u00f3n espec\u00edfica del plan de servicio (como \u00abMeCare (Nombre del Plan): Condiciones Generales de Servicio\u00bb) y cualquier formulario de pedido o declaraci\u00f3n de trabajo ejecutada en virtud del mismo. Este DPA forma parte integral de dicho Acuerdo Principal.

1.2. \u201cLey de Protecci\u00f3n de Datos Aplicable\u201d significa todas las leyes y regulaciones aplicables al Procesamiento de Datos Personales bajo este DPA, incluyendo, entre otros, el RGPD y cualquier ley, regulaci\u00f3n y legislaci\u00f3n secundaria nacional de implementaci\u00f3n, seg\u00fan se modifique o actualice peri\u00f3dicamente.

1.3. \u00abResponsable del Tratamiento\u00bb tiene el significado establecido en el Art\u00edculo 4(7) del RGPD. A efectos del presente DPA, el Cliente es el Responsable del Tratamiento.

1.4. \u201cInteresado\u201d tiene el significado establecido en el Art\u00edculo 4(1) del RGPD.

1.5. \u201cRGPD\u201d significa el Reglamento (UE) 2016\/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protecci\u00f3n de las personas f\u00edsicas en lo que respecta al tratamiento de datos personales y a la libre circulaci\u00f3n de estos datos y por el que se deroga la Directiva 95\/46\/CE (Reglamento general de protecci\u00f3n de datos).

1.6. \u201cDatos Personales\u201d tiene el significado establecido en el Art\u00edculo 4(1) del RGPD y se limita a los Datos Personales Procesados por MEFERI en nombre del Cliente en la prestaci\u00f3n de los Servicios como se describe con m\u00e1s detalle en el Ap\u00e9ndice 1.

1.7. \u201cViolaci\u00f3n de Datos Personales\u201d tiene el significado establecido en el Art\u00edculo 4(12) del RGPD, espec\u00edficamente una violaci\u00f3n de la seguridad que resulte en la destrucci\u00f3n, p\u00e9rdida, alteraci\u00f3n, divulgaci\u00f3n no autorizada o acceso accidental o il\u00edcito a los Datos Personales del Cliente transmitidos, almacenados o procesados de otro modo por MEFERI.

1.8. \u00abTratamiento\u00bb tiene el significado establecido en el art\u00edculo 4(2) del RGPD. \u00abTratar\u00bb y \u00abTratado\u00bb se interpretar\u00e1n en consecuencia.

1.9. \u201cProcesador\u201d significa MEFERI Technologies Co., Ltd., (MEFERI) o, cuando corresponda seg\u00fan la Secci\u00f3n 18.4 de este DPA, la parte afiliada de MEFERI contratante del Acuerdo principal con el Cliente.

1.10. \u201cServicios\u201d se refiere a los productos y servicios prestados por MEFERI al Cliente en virtud del Contrato Principal, incluyendo, entre otros, la Soluci\u00f3n en la Nube Shadowalk MDM\/EMM de MEFERI, los componentes alojados en la nube de la soluci\u00f3n ISA (Asistente Inteligente del Comprador) de MEFERI, donde MEFERI act\u00faa como procesador, y cualquier servicio de soporte asociado (incluidos, entre otros, los servicios prestados en virtud de un contrato de servicios MeCare de MEFERI) en los que MEFERI procesa Datos Personales del Cliente. Para mayor claridad, los Servicios no incluyen las implementaciones locales del software de MEFERI donde el Procesamiento continuo de Datos Personales se realiza exclusivamente en el entorno del Cliente, excepto cuando MEFERI acceda a dichos sistemas para obtener soporte seg\u00fan las instrucciones del Cliente.

1.11. \u201cSubprocesador\u201d significa cualquier tercero contratado por MEFERI para procesar datos personales en nombre del Cliente en relaci\u00f3n con los Servicios.

1.12. \u201cMedidas T\u00e9cnicas y Organizativas\u201d o \u201cMTO\u201d se refiere a las medidas de seguridad implementadas por MEFERI para proteger los Datos Personales, como se describe con m\u00e1s detalle en el Ap\u00e9ndice 2.

1.13. \u201cSoluciones de socios externos\u201d se refiere al software o los servicios proporcionados por terceros que pueden integrarse o usarse junto con el hardware o los Servicios de MEFERI, como soluciones de pago (por ejemplo, WorldLine \u201cTap on Mobile\u201d) o software de autoescaneo minorista (por ejemplo, 4MAX \u201cScan & Go\u201d), donde el Cliente puede tener una relaci\u00f3n contractual directa con dicho tercero.

2. ROLES Y RESPONSABILIDADES

2.1. Funciones de las partes: El Cliente es el Responsable del Tratamiento y MEFERI es el Encargado del Tratamiento de sus Datos Personales. Cada parte cumplir\u00e1 con sus respectivas obligaciones conforme a la Ley de Protecci\u00f3n de Datos Aplicable.

2.2. Obligaciones del Cliente como Responsable del Tratamiento: El Cliente declara y garantiza que:

a. Ha cumplido y continuar\u00e1 cumpliendo con todas las disposiciones aplicables de la Ley de Protecci\u00f3n de Datos Aplicable con respecto a su Procesamiento de Datos Personales y cualquier instrucci\u00f3n de procesamiento que emita a MEFERI;

b. Es el \u00fanico responsable de la exactitud, calidad y legalidad de los Datos Personales y de los medios por los cuales los obtuvo, incluyendo la obtenci\u00f3n de todos los consentimientos necesarios, la entrega de todos los avisos necesarios y la existencia de una base legal v\u00e1lida para el Tratamiento de Datos Personales por parte de MEFERI de conformidad con este DPA y el Acuerdo Principal; y

c. Sus instrucciones a MEFERI para el Tratamiento de Datos Personales deber\u00e1n cumplir con la Ley de Protecci\u00f3n de Datos Aplicable.

2.3. Obligaciones de MEFERI como Encargado del Tratamiento: MEFERI deber\u00e1:

a. Tratar Datos Personales \u00fanicamente siguiendo instrucciones documentadas del Cliente, incluso en lo que respecta a las transferencias de Datos Personales a un tercer pa\u00eds o a una organizaci\u00f3n internacional, salvo que as\u00ed lo exija la legislaci\u00f3n de la Uni\u00f3n o de un Estado miembro a la que est\u00e9 sujeta MEFERI. En tal caso, MEFERI informar\u00e1 al Cliente de dicho requisito legal antes del Tratamiento, salvo que dicha legislaci\u00f3n proh\u00edba dicha informaci\u00f3n por razones importantes de inter\u00e9s p\u00fablico (Art\u00edculo 28(3)(a) del RGPD). El Acuerdo Principal y este DPA constituyen las instrucciones documentadas del Cliente a MEFERI para el Tratamiento de Datos Personales.

b. Informar inmediatamente al Cliente si, en opini\u00f3n de MEFERI, una instrucci\u00f3n infringe la Ley de Protecci\u00f3n de Datos Aplicable (Art\u00edculo 28(3) del RGPD).

3. DETALLES DEL TRATAMIENTO

3.1. El objeto del Tratamiento, su duraci\u00f3n, naturaleza y finalidad, los tipos de Datos Personales y las categor\u00edas de Titulares de los Datos se detallan en el Anexo 1 (Detalles del Tratamiento) del presente DPA.

4. CONFIDENCIALIDAD

4.1. MEFERI deber\u00e1 garantizar que su personal autorizado para procesar datos personales se haya comprometido a la confidencialidad o est\u00e9 sujeto a una obligaci\u00f3n legal apropiada de confidencialidad (Art\u00edculo 28(3)(b) del RGPD).

5. SEGURIDAD DEL TRATAMIENTO

5.1. Teniendo en cuenta el estado de la t\u00e9cnica, los costes de implementaci\u00f3n, la naturaleza, el alcance, el contexto y los fines del Tratamiento, as\u00ed como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas f\u00edsicas, MEFERI implementar\u00e1 y mantendr\u00e1 Medidas T\u00e9cnicas y Organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, tal como se describe en el Ap\u00e9ndice 2 (Medidas T\u00e9cnicas y Organizativas) (Art\u00edculo 28(3)(c) y Art\u00edculo 32 del RGPD).

5.2. MEFERI podr\u00e1 actualizar o modificar los TOM de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en una degradaci\u00f3n material de la seguridad general de los Servicios.

6. SUBTRATAMIENTO

6.1. Autorizaci\u00f3n general: El Cliente otorga a MEFERI autorizaci\u00f3n general por escrito para contratar subprocesadores para procesar datos personales en nombre del Cliente en relaci\u00f3n con la prestaci\u00f3n de los Servicios (Art\u00edculo 28(2) del RGPD).

6.2. Subencargados del Tratamiento y Notificaci\u00f3n de Nuevos Subencargados: MEFERI mantendr\u00e1 una lista de sus subencargados del tratamiento, la cual estar\u00e1 disponible para el Cliente previa solicitud o a trav\u00e9s de la p\u00e1gina web designada (v\u00e9ase el Ap\u00e9ndice 3). MEFERI informar\u00e1 al Cliente de cualquier cambio previsto en relaci\u00f3n con la incorporaci\u00f3n o sustituci\u00f3n de otros subencargados del tratamiento con al menos treinta (30) d\u00edas naturales de antelaci\u00f3n, brind\u00e1ndole as\u00ed la oportunidad de oponerse a dichos cambios.

6.3. Objeci\u00f3n a nuevos subencargados: Si el Cliente tiene motivos razonables para oponerse a que MEFERI utilice un nuevo subencargado, deber\u00e1 notificarlo por escrito a MEFERI con prontitud dentro de los diez (10) d\u00edas h\u00e1biles siguientes a la recepci\u00f3n de la notificaci\u00f3n. En caso de oposici\u00f3n, MEFERI har\u00e1 todo lo razonablemente posible para poner a su disposici\u00f3n un cambio en los Servicios o recomendar un cambio comercialmente razonable en la configuraci\u00f3n o el uso de los Servicios para evitar el Tratamiento de Datos Personales por parte del nuevo subencargado, sin que ello suponga una carga excesiva para el Cliente. Si MEFERI no puede poner a su disposici\u00f3n dicho cambio en un plazo razonable, que no superar\u00e1 los treinta (30) d\u00edas naturales, el Cliente podr\u00e1 rescindir la parte correspondiente de los Servicios que MEFERI no pueda prestar sin el uso del nuevo subencargado, notific\u00e1ndoselo por escrito.

6.4. Obligaciones del subencargado del tratamiento: MEFERI se asegurar\u00e1 de que cualquier subencargado del tratamiento que contrate est\u00e9 sujeto a un contrato escrito u otro acto jur\u00eddico conforme a la legislaci\u00f3n de la Uni\u00f3n o de los Estados miembros que imponga obligaciones de protecci\u00f3n de datos que sean al menos equivalentes a las impuestas a MEFERI en virtud de este DPA, en particular proporcionando garant\u00edas suficientes para implementar medidas t\u00e9cnicas y organizativas apropiadas de tal manera que el tratamiento cumpla con los requisitos de la legislaci\u00f3n de protecci\u00f3n de datos aplicable (art\u00edculo 28(4) del RGPD).

6.5. Responsabilidad: MEFERI seguir\u00e1 siendo plenamente responsable ante el Cliente del cumplimiento de las obligaciones de protecci\u00f3n de datos de sus Subprocesadores.

7. DERECHOS DEL TITULAR DE LOS DATOS

7.1. Teniendo en cuenta la naturaleza del Tratamiento, MEFERI asistir\u00e1 al Cliente implementando las medidas t\u00e9cnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de su obligaci\u00f3n de responder a las solicitudes de ejercicio de los derechos del Titular de los Datos establecidos en el Cap\u00edtulo III del RGPD (por ejemplo, derecho de acceso, rectificaci\u00f3n, supresi\u00f3n, etc.) (Art\u00edculo 28(3)(e) del RGPD).

7.2. Si MEFERI recibe una solicitud directamente de un Interesado en relaci\u00f3n con los Datos Personales del Cliente, MEFERI notificar\u00e1 de inmediato al Cliente dicha solicitud y no responder\u00e1 al Interesado, salvo para confirmar que la solicitud se refiere al Cliente. El Cliente ser\u00e1 responsable de responder a todas las solicitudes del Interesado.

8. ASISTENCIA AL RESPONSABLE DEL TRATAMIENTO

8.1. Teniendo en cuenta la naturaleza del Tratamiento y la informaci\u00f3n disponible para MEFERI, MEFERI prestar\u00e1 asistencia razonable al Cliente para garantizar el cumplimiento de sus obligaciones de conformidad con los art\u00edculos 32 a 36 del RGPD (Seguridad del Tratamiento, notificaci\u00f3n de Violaciones de Datos Personales a la autoridad de control, comunicaci\u00f3n de una Violaci\u00f3n de Datos Personales al Titular de los Datos, Evaluaci\u00f3n de Impacto de la Protecci\u00f3n de Datos y consulta previa con la autoridad de control) (art\u00edculo 28(3)(f) del RGPD).

9. NOTIFICACI\u00d3N DE VIOLACI\u00d3N DE DATOS PERSONALES

9.1. Notificaci\u00f3n al Cliente:

MEFERI deber\u00e1 notificar al Cliente sin demora indebida, y en cualquier caso dentro de las cuarenta y ocho (48) horas, despu\u00e9s de tener conocimiento de una violaci\u00f3n de datos personales que afecte a los datos personales del Cliente (Art\u00edculo 28(3)(f) y Art\u00edculo 33(2) GDPR).

9.2. Dicha notificaci\u00f3n deber\u00e1, en la medida de lo posible, describir:

a. La naturaleza de la violaci\u00f3n de datos personales, incluidas, cuando sea posible, las categor\u00edas y el n\u00famero aproximado de interesados afectados, as\u00ed como las categor\u00edas y el n\u00famero aproximado de registros de datos personales afectados;

b. El nombre y los datos de contacto del Delegado de Protecci\u00f3n de Datos de MEFERI u otro punto de contacto donde se pueda obtener m\u00e1s informaci\u00f3n;

c. Las probables consecuencias de la violaci\u00f3n de datos personales; y

d. Las medidas adoptadas o propuestas por MEFERI para abordar la violaci\u00f3n de datos personales, incluidas, cuando corresponda, las medidas para mitigar sus posibles efectos adversos.

9.3. Cuando no sea posible proporcionar toda la informaci\u00f3n simult\u00e1neamente, esta podr\u00e1 facilitarse por fases sin demoras indebidas.

9.4. El Cliente es el \u00fanico responsable de cumplir con sus obligaciones de notificaci\u00f3n de violaciones de datos seg\u00fan la Ley de Protecci\u00f3n de Datos Aplicable. La notificaci\u00f3n o respuesta de MEFERI ante una violaci\u00f3n de datos personales en virtud de esta Secci\u00f3n 9 no se interpretar\u00e1 como un reconocimiento por parte de MEFERI de cualquier culpa o responsabilidad con respecto a dicha violaci\u00f3n.

10. SUPRESI\u00d3N O DEVOLUCI\u00d3N DE DATOS

10.1. A elecci\u00f3n del Cliente, MEFERI eliminar\u00e1 o devolver\u00e1 todos los Datos Personales al Cliente una vez finalizada la prestaci\u00f3n de los Servicios relacionados con el Tratamiento, y eliminar\u00e1 las copias existentes, salvo que la legislaci\u00f3n de la Uni\u00f3n o de los Estados miembros exija la conservaci\u00f3n de los Datos Personales (Art\u00edculo 28(3)(g) del RGPD). Los plazos espec\u00edficos de conservaci\u00f3n y eliminaci\u00f3n se establecer\u00e1n en el Contrato Principal o seg\u00fan se acuerde de otro modo.

11. AUDITOR\u00cdAS E INSPECCIONES

11.1. MEFERI pondr\u00e1 a disposici\u00f3n del Cliente toda la informaci\u00f3n necesaria para demostrar el cumplimiento de las obligaciones establecidas en el Art\u00edculo 28 del RGPD y permitir y contribuir a las auditor\u00edas, incluidas las inspecciones, realizadas por el Cliente u otro auditor designado por el Cliente (Art\u00edculo 28(3)(h) del RGPD).

11.2. Dichas auditor\u00edas se realizar\u00e1n durante el horario laboral habitual de MEFERI, con previo aviso por escrito con una antelaci\u00f3n razonable de no menos de treinta (30) d\u00edas naturales, y no interferir\u00e1n injustificadamente con las actividades comerciales de MEFERI. El Cliente y MEFERI acordar\u00e1n mutuamente el alcance, el calendario y la duraci\u00f3n de la auditor\u00eda.

11.3. El Cliente se asegurar\u00e1 de que cualquier auditor act\u00fae bajo un acuerdo de confidencialidad por escrito. El Cliente asumir\u00e1 sus propios costos y los de su auditor designado. Si la auditor\u00eda revela un incumplimiento sustancial de este DPA por parte de MEFERI, MEFERI asumir\u00e1 los costos razonables de la auditor\u00eda, hasta un l\u00edmite acordado mutuamente.

11.4. En la medida en que lo permita la ley, MEFERI podr\u00e1 cumplir con sus obligaciones de auditor\u00eda proporcionando al Cliente las certificaciones pertinentes de un auditor externo independiente (por ejemplo, ISO 27001, SOC 2 Tipo II), o res\u00famenes de las mismas, sujeto a las obligaciones de confidencialidad correspondientes.

12. TRANSFERENCIAS INTERNACIONALES DE DATOS

12.1. MEFERI no transferir\u00e1 Datos Personales a ning\u00fan pa\u00eds fuera del Espacio Econ\u00f3mico Europeo (EEE) o un pa\u00eds considerado adecuado por la Comisi\u00f3n Europea seg\u00fan el Art\u00edculo 45 del RGPD sin garantizar que se implementen las garant\u00edas adecuadas seg\u00fan lo exige el Cap\u00edtulo V del RGPD (por ejemplo, mediante la celebraci\u00f3n de Cl\u00e1usulas Contractuales Est\u00e1ndar aprobadas por la Comisi\u00f3n Europea).

12.2. Las ubicaciones principales de procesamiento de datos para los Servicios, espec\u00edficamente donde MEFERI aloja los Datos Personales del Cliente en su infraestructura principal en la nube, se ubicar\u00e1n dentro del Espacio Econ\u00f3mico Europeo (EEE), utilizando la regi\u00f3n eu-west-3 de Amazon Web Services (AWS) (Par\u00eds, Francia). En el Ap\u00e9ndice 3 se proporciona m\u00e1s informaci\u00f3n sobre los subencargados del tratamiento, incluidos los proveedores de infraestructura en la nube y sus ubicaciones.

12.3. Si MEFERI realiza una transferencia de Datos Personales a un Subencargado del Tratamiento en un tercer pa\u00eds (es decir, fuera del EEE o un pa\u00eds no considerado adecuado por la Comisi\u00f3n Europea) que no garantice un nivel de protecci\u00f3n adecuado, MEFERI se asegurar\u00e1 de que dicha transferencia est\u00e9 amparada por un mecanismo de transferencia adecuado conforme al Cap\u00edtulo V del RGPD, como las Cl\u00e1usulas Contractuales Tipo. Esto incluye las transferencias que puedan producirse si MEFERI utiliza los servicios de un subencargado del tratamiento cuya infraestructura o personal de soporte se encuentre en dichos terceros pa\u00edses, incluso si el lugar de tratamiento principal especificado en el apartado 12.2 se encuentra dentro del EEE.

13. USO DE SOLUCIONES DE SOCIOS EXTERNOS POR PARTE DE MEFERI

13.1. El Cliente reconoce que el hardware o los Servicios de MEFERI pueden utilizarse junto con Soluciones de Socios Externos (por ejemplo, soluciones de procesamiento de pagos en dispositivos CIAO o software espec\u00edfico de gesti\u00f3n minorista).

13.2. Si el Cliente decide utilizar dichas Soluciones de Socios Externos, podr\u00e1 establecer una relaci\u00f3n contractual directa con los proveedores de dichas soluciones. En tales casos, el proveedor externo podr\u00e1 actuar como Responsable o Encargado del Tratamiento de los Datos Personales que gestiona en relaci\u00f3n con sus servicios, seg\u00fan lo establecido en el acuerdo del Cliente con dicho tercero.

13.3. Este DPA rige \u00fanicamente el Tratamiento de Datos Personales por parte de MEFERI como Encargado del Tratamiento para el Cliente. No se aplica a las actividades de Tratamiento realizadas por proveedores de Soluciones de Socios Externos con los que el Cliente tenga una relaci\u00f3n directa, a menos que dicho proveedor act\u00fae como Subencargado del Tratamiento para MEFERI seg\u00fan la Secci\u00f3n 6 de este DPA.

14. RESPONSABILIDAD E INDEMNIZACI\u00d3N

14.1. La responsabilidad de cada parte en virtud del presente DPA estar\u00e1 sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el Acuerdo Principal.

14.2. El Cliente indemnizar\u00e1 y eximir\u00e1 de responsabilidad a MEFERI frente a cualquier reclamaci\u00f3n, acci\u00f3n, reclamaci\u00f3n de terceros, p\u00e9rdida, da\u00f1o y gasto (incluidos los honorarios legales razonables) en que incurra MEFERI como consecuencia del incumplimiento por parte del Cliente de sus obligaciones en virtud del presente DPA o de la Ley de Protecci\u00f3n de Datos Aplicable.

15. PLAZO Y TERMINACI\u00d3N

15.1. El presente DPA entrar\u00e1 en vigor en la fecha de entrada en vigor del Acuerdo Principal y permanecer\u00e1 vigente hasta su terminaci\u00f3n o vencimiento, o hasta que MEFERI deje de procesar datos personales en nombre del Cliente, lo que ocurra m\u00e1s tarde.

15.2. Las obligaciones de confidencialidad, eliminaci\u00f3n\/devoluci\u00f3n de datos y cualquier disposici\u00f3n que por su naturaleza deba sobrevivir a la terminaci\u00f3n, sobrevivir\u00e1n a la terminaci\u00f3n o expiraci\u00f3n de este DPA.

16. CAMBIOS A ESTE DPA

16.1. MEFERI podr\u00e1 modificar este DPA en cualquier momento publicando la versi\u00f3n modificada en su sitio web o notificando de otro modo al Cliente.

16.2. Si MEFERI realiza un cambio sustancial en este DPA, notificar\u00e1 al Cliente con suficiente antelaci\u00f3n (por ejemplo, mediante correo electr\u00f3nico a su contacto designado o mediante una notificaci\u00f3n dentro de los Servicios). El uso continuado de los Servicios por parte del Cliente tras dicho plazo de notificaci\u00f3n constituir\u00e1 la aceptaci\u00f3n del DPA modificado. Si el Cliente se opone a un cambio sustancial, podr\u00e1 rescindir el Acuerdo Principal de conformidad con sus t\u00e9rminos.

17. LEY APLICABLE Y RESOLUCI\u00d3N DE CONTROVERSIAS

17.1. Ley aplicable: El presente DPA se regir\u00e1 e interpretar\u00e1 de conformidad con las leyes estipuladas como ley aplicable en el Contrato Principal celebrado entre el Cliente y la entidad MEFERI parte de dicho Contrato Principal (\u201cEntidad MEFERI Contratante\u201d).

17.2. Resoluci\u00f3n de disputas:

a. Las Partes se esforzar\u00e1n por resolver cualquier disputa, controversia o reclamaci\u00f3n derivada o relacionada con este DPA, su interpretaci\u00f3n, validez, incumplimiento o terminaci\u00f3n (\u00abDisputa\u00bb) de forma amistosa mediante negociaciones de buena fe entre sus representantes autorizados. b. Si una Disputa no puede resolverse mediante negociaci\u00f3n dentro de los treinta (30) d\u00edas naturales siguientes a la notificaci\u00f3n escrita de una Parte iniciando las negociaciones, dicha Disputa se resolver\u00e1 de conformidad con el mecanismo de resoluci\u00f3n de disputas (por ejemplo, arbitraje o procedimiento judicial) y la jurisdicci\u00f3n que se especifique en el Acuerdo Principal. c. En caso de que el Acuerdo Principal prevea arbitraje:

i. Dicho arbitraje ser\u00e1 el mecanismo principal para resolver Disputas bajo este DPA. ii. A menos que se especifique lo contrario en el Acuerdo Principal, o si el Acuerdo Principal no se pronuncia sobre los detalles del arbitraje para asuntos relacionados con este DPA, las Partes acuerdan que dicha Disputa puede ser sometida a arbitraje administrado por una instituci\u00f3n de arbitraje reconocida internacionalmente y acordada mutuamente (como la Corte de Arbitraje Internacional de Shenzhen (SCIA), el Centro de Arbitraje Internacional de Singapur (SIAC), o el Centro de Arbitraje Internacional de Hong Kong (HKIAC), o una instituci\u00f3n apropiada dentro de la Uni\u00f3n Europea si la Entidad MEFERI Contratante es una filial con sede en la UE). iii. El arbitraje se llevar\u00e1 a cabo en ingl\u00e9s. La sede o lugar legal del arbitraje ser\u00e1 el especificado en el Acuerdo Principal o, si no se especifica o si se acuerda mutuamente una ubicaci\u00f3n diferente para una Disputa espec\u00edfica, una ubicaci\u00f3n elegida por mutuo acuerdo de las Partes, o en ausencia de dicho acuerdo dentro de un per\u00edodo razonable, por la Entidad MEFERI Contratante. iv. El laudo arbitral ser\u00e1 definitivo y vinculante para ambas Partes, sujeto a cualquier derecho de apelaci\u00f3n permitido por las leyes de la sede del arbitraje por injusticia procesal o falta de jurisdicci\u00f3n.

d. Si el Contrato Principal especifica litigio judicial, los tribunales all\u00ed especificados tendr\u00e1n jurisdicci\u00f3n, sujeto a la Secci\u00f3n 17.3 a continuaci\u00f3n.

17.3. Consideraciones obligatorias sobre la Ley de Protecci\u00f3n de Datos: a. Sin perjuicio de cualquier otra disposici\u00f3n del presente DPA o del Acuerdo Principal, cuando la Ley de Protecci\u00f3n de Datos Aplicable (incluido, entre otros, el RGPD) otorgue al Interesado el derecho obligatorio de interponer un recurso ante los tribunales de su residencia habitual o lugar de trabajo, o del lugar donde se produjo la presunta infracci\u00f3n, o de presentar una reclamaci\u00f3n ante una autoridad supervisora, dichos derechos no se ver\u00e1n afectados por los t\u00e9rminos del presente DPA. b. Cuando sea aplicable el RGPD, MEFERI y el Cliente garantizar\u00e1n que la elecci\u00f3n de la ley o jurisdicci\u00f3n aplicable no impida que los Interesados se beneficien de las disposiciones obligatorias de la legislaci\u00f3n del Estado miembro de la Uni\u00f3n Europea en el que residan.

17.4. Cumplimiento continuo: En espera de la resoluci\u00f3n de una Disputa, las Partes continuar\u00e1n cumpliendo con sus respectivas obligaciones bajo este DPA en la medida de lo posible, a menos que el DPA o el Acuerdo Principal se rescindan.

18. INFORMACI\u00d3N DE CONTACTO \/ PROTECCI\u00d3N DE DATOS

18.1. Encargado del tratamiento: MEFERI Technologies Co., Ltd. Direcci\u00f3n: 5F, A5, Tianfu Software Park, n.\u00b0 1129, Century City Road, High-tech Zone, 610000, Chengdu, Sichuan, Rep\u00fablica Popular de China

\u2013 Correo electr\u00f3nico para consultas sobre protecci\u00f3n de datos: legal@meferi.com<\/a>

18.2. Consultas sobre protecci\u00f3n de datos y DPO (para MEFERI Technologies Co., Ltd.): Todas las consultas relacionadas con la protecci\u00f3n de datos bajo este DPA deben dirigirse a la direcci\u00f3n de correo electr\u00f3nico especificada para MEFERI Technologies Co., Ltd. en la Secci\u00f3n 18.1 anterior.

18.3. Representante en la UE de MEFERI Technologies Co., Ltd. (de conformidad con el art\u00edculo 27 del RGPD): Nombre del representante en la UE: MEFERI Poland Sp. z oo Direcci\u00f3n: Ul. Modelarska 18\/2, 40-142 Katowice, Polonia Correo electr\u00f3nico para consultas sobre protecci\u00f3n de datos en la UE (para interesados y autoridades de control en la UE en relaci\u00f3n con el tratamiento por parte de MEFERI Technologies Co., Ltd.): poland@meferi.com<\/a>

18.4. Tratamiento por parte de las Afiliadas de MEFERI: Cuando el Cliente suscriba un Acuerdo Principal con una afiliada de MEFERI Technologies Co., Ltd. (p. ej., MEFERI Poland Sp. z oo) (\u00abAfiliada Contratante de MEFERI\u00bb), y dicha Afiliada Contratante de MEFERI act\u00fae como Encargada del Tratamiento de Datos Personales en virtud de dicho Acuerdo Principal:

a) Este DPA se aplicar\u00e1 a las actividades de procesamiento realizadas por el Afiliado Contratante de MEFERI, y todas las referencias a \u201cMEFERI\u201d o \u201cProcesador\u201d en este documento se considerar\u00e1n como referencias a dicho Afiliado Contratante de MEFERI.

b) La informaci\u00f3n de contacto para consultas sobre protecci\u00f3n de datos relacionadas con el tratamiento por parte de la Afiliada Contratante de MEFERI ser\u00e1 la especificada en el Contrato Principal o la que la Afiliada Contratante de MEFERI comunique al Cliente. Para MEFERI Poland Sp. z oo, los datos de contacto son: Direcci\u00f3n: Ul. Modelarska 18\/2, 40-142 Katowice, Polonia

Correo electr\u00f3nico: poland@meferi.com<\/a>

Tel\u00e9fono: +48 734-143-579

c) La ley aplicable y la resoluci\u00f3n de disputas para este DPA en tales casos ser\u00e1n determinadas por el Acuerdo Principal con la Afiliada MEFERI Contratante.

19. ACUERDO COMPLETO

19.1. Este DPA, incluidos sus Ap\u00e9ndices, constituye el acuerdo completo entre las partes con respecto al objeto del mismo y reemplaza todos los acuerdos, propuestas o representaciones anteriores y contempor\u00e1neos, escritos u orales, relacionados con su objeto.

EN TESTIMONIO DE LO CUAL, las partes reconocen su conformidad con este Acuerdo de Procesamiento de Datos a partir de la Fecha de Vigencia del Acuerdo Principal o del uso de los Servicios por parte del Cliente.

\u2014

AP\u00c9NDICE 1<\/strong>

DETALLES DEL TRATAMIENTO

Este Ap\u00e9ndice 1 forma parte del DPA y describe el Procesamiento de Datos Personales por parte de MEFERI en nombre del Cliente.

A. LISTA DE PARTES

Controlador(es) \/ Cliente(s):

La entidad legal que ha suscrito el Acuerdo Principal con MEFERI para la prestaci\u00f3n de los Servicios. El Cliente determina los fines y medios del Tratamiento de Datos Personales.

Procesador(es) \/ MEFERI:

MEFERI Technologies Co., Ltd., o, cuando corresponda seg\u00fan la Secci\u00f3n 18.4 de este DPA, la parte afiliada de MEFERI contratante del Acuerdo principal con el Cliente, que proporciona los Servicios al Cliente.

B. DESCRIPCI\u00d3N DEL TRATAMIENTO

1. Objeto del Tratamiento:

El procesamiento de datos personales en el contexto de la prestaci\u00f3n, mantenimiento, soporte y mejora de los Servicios MEFERI suscritos por el Cliente bajo el Acuerdo principal, incluidos, entre otros, la soluci\u00f3n en la nube MEFERI Shadowalk MDM\/EMM y los componentes alojados en la nube de la soluci\u00f3n CIAO Intelligent Shopper Assistant (ISA).

2. Duraci\u00f3n del Tratamiento:

Durante la vigencia del Acuerdo Principal entre MEFERI y el Cliente, y hasta que todos los Datos Personales sean eliminados o devueltos de conformidad con la Secci\u00f3n 10 de la DPA.

3. Naturaleza y finalidad del tratamiento:

Para la soluci\u00f3n en la nube MEFERI Shadowalk MDM\/EMM: Para permitir al Cliente gestionar, proteger, supervisar y dar soporte remoto a su flota de dispositivos m\u00f3viles. Esto incluye el aprovisionamiento de dispositivos, la gesti\u00f3n de la configuraci\u00f3n, la gesti\u00f3n de aplicaciones, la aplicaci\u00f3n de pol\u00edticas de seguridad, el seguimiento de dispositivos (si el Cliente lo habilita), el diagn\u00f3stico remoto y la generaci\u00f3n de informes sobre el estado y el uso de los dispositivos.

Para los componentes de ISA Cloud de MEFERI y CIAO (donde MEFERI es el Encargado): Facilitar el funcionamiento de la soluci\u00f3n de asistente inteligente de compras para el Cliente (minorista). Esto puede incluir la autenticaci\u00f3n de usuarios, la gesti\u00f3n de listas de compra, el procesamiento de informaci\u00f3n de productos, los datos de interacci\u00f3n del cliente (para an\u00e1lisis proporcionados al minorista) y la habilitaci\u00f3n de integraciones con servicios de terceros seg\u00fan las indicaciones del Cliente.

\u2013 Contratos de servicio de MeCare: Para los servicios de MeCare de MEFERI (donde MEFERI act\u00faa como procesador): Para proporcionar servicios contratados de soporte, mantenimiento, reparaci\u00f3n, monitoreo y administraci\u00f3n de dispositivos como se describe en los \u201cMeCare (nombre del plan): T\u00e9rminos generales de servicio\u201d aplicables y la Gu\u00eda de servicios de soporte de MeCare, que pueden implicar el acceso, la recopilaci\u00f3n o el procesamiento de otro modo de datos personales almacenados o transmitidos por los dispositivos del cliente, o proporcionados por el cliente en el curso de la prestaci\u00f3n del servicio.

\u2013 Para servicios de soporte: Brindar soporte t\u00e9cnico, resoluci\u00f3n de problemas, mantenimiento y actualizaciones para los Servicios, lo que puede implicar el acceso a Datos personales procesados dentro de los Servicios o en los sistemas del Cliente a pedido e instrucci\u00f3n del Cliente.

\u2013 Cumplir con las instrucciones documentadas del Cliente establecidas en este DPA y el Acuerdo Principal.

\u2013 Para cumplir con las obligaciones legales aplicables.

4. Categor\u00edas de interesados:

\u2013 Empleados, contratistas y usuarios autorizados del Cliente: Personas que administran o utilizan los Servicios en nombre del Cliente (por ejemplo, administradores de TI que utilizan Shadowalk, personal minorista que administra o utiliza CIAO).

\u2013 Usuarios finales de los dispositivos administrados por el Cliente (para Shadowalk): Personas (por ejemplo, empleados del Cliente) que utilizan computadoras m\u00f3viles u otros dispositivos administrados por el Cliente a trav\u00e9s de la soluci\u00f3n Shadowalk.

\u2013 Clientes del cliente (compradores) (para CIAO, si MEFERI procesa sus Datos personales en un backend en la nube en nombre del Cliente minorista): Personas que utilizan los dispositivos ISA de CIAO en la tienda del minorista.

5. Tipos de datos personales procesados:

Los tipos espec\u00edficos de Datos Personales Procesados depender\u00e1n de los Servicios que utilice el Cliente y de c\u00f3mo los configure y utilice. Los Datos Personales pueden incluir:

\u2013 Cuenta de usuario e informaci\u00f3n de contacto: Nombre, direcci\u00f3n de correo electr\u00f3nico, nombre de usuario, contrase\u00f1as, n\u00famero de tel\u00e9fono, puesto de trabajo, departamento, ID de empleado, funci\u00f3n\/permisos dentro de los Servicios (si corresponde para la administraci\u00f3n del servicio por parte del Cliente).

\u2013 Informaci\u00f3n del dispositivo (para Shadowalk): identificadores del dispositivo (por ejemplo, n\u00famero de serie, IMEI, direcci\u00f3n MAC, UDID), modelo del dispositivo, versi\u00f3n del sistema operativo, direcci\u00f3n IP, informaci\u00f3n de red, configuraci\u00f3n del dispositivo, aplicaciones instaladas, datos de ubicaci\u00f3n del dispositivo (si el cliente los habilita).

\u2013 Datos de uso y registro (para Shadowalk y la nube CIAO): registros del sistema, registros de auditor\u00eda, registros de actividad, datos de rendimiento, datos de diagn\u00f3stico relacionados con el uso de los Servicios.

\u2013 Datos del comprador (para CIAO, si corresponde): detalles de la cuenta del comprador (por ejemplo, ID de fidelidad, correo electr\u00f3nico si lo proporciona el comprador para el registro a trav\u00e9s de la aplicaci\u00f3n del minorista en CIAO), listas de compras, historial de escaneo de productos, datos de interacci\u00f3n con el dispositivo CIAO.

\u2013 Datos de soporte: informaci\u00f3n proporcionada por el Cliente durante las interacciones de soporte, incluidos detalles de contacto, descripci\u00f3n de problemas, detalles de configuraci\u00f3n del sistema y cualquier dato personal contenido en registros o archivos compartidos con MEFERI para la resoluci\u00f3n de problemas.

\u2013 Cualquier otro dato personal que el Cliente (o sus usuarios autorizados o titulares de los datos) elija enviar a los Servicios.

6. Categor\u00edas especiales de datos personales (si las hubiera):

MEFERI no tiene intenci\u00f3n de procesar ninguna categor\u00eda especial de datos personales (seg\u00fan se define en el art\u00edculo 9 del RGPD) en nombre del Cliente. El Cliente no cargar\u00e1, proporcionar\u00e1 ni ordenar\u00e1 a MEFERI que procese ninguna categor\u00eda especial de datos personales a menos que lo acuerde expl\u00edcitamente por escrito con MEFERI y con las garant\u00edas adecuadas. Si el Cliente proporciona dichos datos sin consentimiento previo, ser\u00e1 el \u00fanico responsable de garantizar una base legal v\u00e1lida para dicho procesamiento.

\u2014

AP\u00c9NDICE 2<\/strong>

SEGURIDAD T\u00c9CNICA Y ORGANIZATIVA MEASURES (TOMS)

Este Ap\u00e9ndice 2 describe las Medidas T\u00e9cnicas y Organizativas implementadas por MEFERI para garantizar un nivel adecuado de seguridad en el Tratamiento de Datos Personales. MEFERI podr\u00e1 actualizar estas medidas peri\u00f3dicamente, siempre que dichas actualizaciones no afecten significativamente la seguridad general de los Servicios.

1. Pol\u00edticas y gobernanza de seguridad de la informaci\u00f3n:

a. MEFERI mantiene pol\u00edticas y procedimientos internos dise\u00f1ados para proteger los Datos Personales.

b. Se definen y asignan responsabilidades en materia de seguridad de la informaci\u00f3n.

c. Se realizan evaluaciones de riesgos peri\u00f3dicas para identificar y mitigar las amenazas a los Datos Personales.

2. Seguridad del personal:

a. Los empleados y contratistas con acceso a Datos Personales est\u00e1n sujetos a obligaciones de confidencialidad.

b. Se proporciona capacitaci\u00f3n sobre concientizaci\u00f3n en seguridad al personal relevante con respecto a sus responsabilidades de seguridad y protecci\u00f3n de datos.

c. Se podr\u00e1n realizar verificaciones de antecedentes del personal que ocupe puestos sensibles, cuando lo permita la legislaci\u00f3n aplicable.

3. Control de acceso f\u00edsico:

a. Se han establecido medidas para evitar el acceso f\u00edsico no autorizado a las instalaciones y locales de MEFERI donde se puedan procesar datos personales (por ejemplo, oficinas).

b. Esto incluye per\u00edmetros de seguridad, sistemas de control de acceso, vigilancia y registro del acceso f\u00edsico cuando corresponda.

c. Para los centros de datos utilizados por MEFERI para los Servicios (es decir, los de su principal proveedor de servicios en la nube, Amazon Web Services \u2013 AWS), MEFERI conf\u00eda en las s\u00f3lidas medidas de seguridad f\u00edsica implementadas por AWS.

4. Control de acceso al sistema (acceso l\u00f3gico):

a. El acceso a los sistemas inform\u00e1ticos que procesan Datos Personales est\u00e1 restringido al personal autorizado.

b. Se utilizan identificadores de usuario \u00fanicos y mecanismos de autenticaci\u00f3n fuertes (por ejemplo, contrase\u00f1as complejas, autenticaci\u00f3n multifactor cuando sea apropiado y factible).

c. Los derechos de acceso se otorgan seg\u00fan el principio del m\u00ednimo privilegio (control de acceso basado en roles).

d. Se realizan revisiones peri\u00f3dicas de los derechos de acceso.

e. Se utilizan protocolos seguros para el acceso remoto.

5. Control de acceso a los datos:

a. Se han establecido medidas para garantizar que las personas autorizadas a utilizar un sistema de procesamiento de datos puedan acceder \u00fanicamente a los Datos Personales a los que se refiere su derecho de acceso, de conformidad con sus funciones y responsabilidades asignadas.

b. Los Datos Personales no se leen, copian, modifican ni eliminan sin autorizaci\u00f3n durante el Procesamiento, el uso y despu\u00e9s del almacenamiento, excepto cuando sea necesario para la prestaci\u00f3n de los Servicios o seg\u00fan las instrucciones del Cliente.

c. Se implementa la segregaci\u00f3n de funciones y datos cuando corresponde.

6. Control de transmisi\u00f3n:

a. Los Datos Personales est\u00e1n protegidos contra la lectura, copia, modificaci\u00f3n o eliminaci\u00f3n no autorizadas durante la transmisi\u00f3n o transporte electr\u00f3nico.

b. Se utilizan tecnolog\u00edas de cifrado (por ejemplo, Seguridad de la capa de transporte \u2013 TLS\/Capa de sockets seguros \u2013 SSL para datos en tr\u00e1nsito) para proteger los Datos Personales transmitidos a trav\u00e9s de redes p\u00fablicas.

c. Se utilizan m\u00e9todos seguros para la transferencia de medios f\u00edsicos que contienen Datos Personales, si se producen dichas transferencias.

7. Control de entrada:

a. Se implementan medidas para garantizar que se pueda verificar y establecer posteriormente si se han ingresado, modificado o eliminado Datos Personales en los sistemas de procesamiento de datos y por qui\u00e9n (por ejemplo, mediante registros de auditor\u00eda).

b. Se implementan capacidades de registro y auditor\u00eda para actividades cr\u00edticas del sistema relacionadas con el Procesamiento de Datos Personales.

8. Copia de seguridad y recuperaci\u00f3n de datos:

a. Se realizan copias de seguridad peri\u00f3dicas de los Datos Personales Procesados dentro de los Servicios para garantizar la disponibilidad e integridad de los datos.

b. Los procedimientos de copia de seguridad y recuperaci\u00f3n se definen y prueban peri\u00f3dicamente.

c. Las copias de seguridad se almacenan de forma segura.

9. Control de disponibilidad y resiliencia:

a. Los sistemas est\u00e1n dise\u00f1ados y configurados para garantizar la disponibilidad de los Datos Personales y la resiliencia de los sistemas y servicios de procesamiento.

b. Esto incluye medidas como redundancia, tolerancia a fallos y capacidades de recuperaci\u00f3n ante desastres, aprovechando principalmente la infraestructura del principal proveedor de servicios en la nube de MEFERI (Amazon Web Services \u2013 AWS).

10. Segregaci\u00f3n de datos:

a. Los Datos Personales del Cliente est\u00e1n l\u00f3gicamente separados de los datos de otros clientes de MEFERI dentro de los Servicios.

11. Desarrollo de software seguro (para las plataformas en la nube de MEFERI):

a. Las pr\u00e1cticas y principios de codificaci\u00f3n segura se incorporan al ciclo de vida de desarrollo de software de MEFERI para sus plataformas en la nube.

b. Se realizan pruebas de seguridad (por ejemplo, escaneo de vulnerabilidades, pruebas de penetraci\u00f3n) seg\u00fan corresponda para los Servicios.

c. Existen procedimientos para identificar, evaluar y remediar vulnerabilidades en el software de MEFERI.

12. Gesti\u00f3n de incidentes:

a. MEFERI mantiene un plan de respuesta a incidentes y procedimientos para detectar, responder y recuperarse de incidentes de seguridad, incluidas las violaciones de datos personales.

b. Los incidentes se investigan, se documentan y se toman las medidas correctivas apropiadas.

c. Se establecen planes de comunicaci\u00f3n para notificaciones internas y externas seg\u00fan lo exige la Ley de Protecci\u00f3n de Datos Aplicable y este DPA.

13. Gesti\u00f3n de subencargados del tratamiento:

a. Se realiza la debida diligencia antes de contratar a subprocesadores para garantizar que puedan proporcionar un nivel adecuado de protecci\u00f3n de datos.

b. Existen acuerdos contractuales con subprocesadores que imponen obligaciones de protecci\u00f3n de datos que son al menos equivalentes a las impuestas a MEFERI en virtud de este DPA.

14. Monitoreo y registro:

a. Los sistemas que procesan Datos Personales se monitorean para detectar eventos de seguridad y anomal\u00edas, cuando sea apropiado y factible.

b. Se recopilan y revisan los registros pertinentes seg\u00fan sea necesario para detectar, investigar y responder a incidentes de seguridad.

15. Cifrado:

a. El cifrado de datos personales en reposo se implementa cuando es apropiado y t\u00e9cnicamente factible (por ejemplo, para el almacenamiento de bases de datos que contienen datos personales confidenciales).

b. El cifrado de datos personales en tr\u00e1nsito a trav\u00e9s de redes p\u00fablicas se implementa utilizando protocolos est\u00e1ndar de la industria (por ejemplo, TLS).

*(El Cliente reconoce que las Medidas de Seguridad est\u00e1n sujetas al progreso y desarrollo t\u00e9cnico y que MEFERI puede actualizar o modificar las Medidas de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en la degradaci\u00f3n de la seguridad general de los Servicios adquiridos por el Cliente).*

\u2014

AP\u00c9NDICE 3<\/strong>

SUBPROCESADORES

El Cliente otorga a MEFERI una autorizaci\u00f3n general para utilizar las categor\u00edas de subencargados del tratamiento que se enumeran a continuaci\u00f3n. MEFERI mantendr\u00e1 una lista actualizada de sus subencargados, que se pondr\u00e1 a disposici\u00f3n del Cliente mediante su publicaci\u00f3n en una p\u00e1gina web designada en el sitio web de MEFERI. https:\/\/meferi.com\/support-services\/legal-center\/sub-processor-list\/<\/a>. y proporcionar\u00e1 esta lista al Cliente previa solicitud por escrito al contacto de Protecci\u00f3n de Datos de MEFERI (por ejemplo, legal@meferi.com<\/a>).

Categor\u00edas de subprocesadores y finalidad:

1. Proveedores de infraestructura en la nube: \u2013 Subprocesador y especificaciones para el alojamiento principal de los servicios prestados al cliente en virtud del acuerdo principal:

\u2013 Entidad: Amazon Web Services EMEA SARL (o la entidad contratante de AWS pertinente para los servicios prestados en el EEE).

\u2013 Finalidad: Proporcionar infraestructura de computaci\u00f3n en la nube subyacente (servidores, almacenamiento, redes, bases de datos) para alojar los Servicios de MEFERI (por ejemplo, Shadowalk Cloud, backend de CIAO Cloud) proporcionados al Cliente seg\u00fan el Acuerdo principal.

\u2013 Ubicaci\u00f3n del procesamiento de datos personales del cliente (alojamiento principal): la regi\u00f3n principal de AWS para procesar datos personales del cliente bajo este DPA es eu-west-3 (Par\u00eds, Francia) dentro del Espacio Econ\u00f3mico Europeo (EEE).

\u2013 Medidas de seguridad para la transferencia de datos: AWS proporciona un Anexo sobre Procesamiento de Datos (APD) que incluye Cl\u00e1usulas Contractuales Tipo (CCT) para regular las transferencias de datos personales. Este documento se aplica si AWS procesa o transfiere datos a ubicaciones fuera del EEE que no est\u00e9n cubiertas por una decisi\u00f3n de adecuaci\u00f3n. El cliente puede consultar el Anexo sobre Procesamiento de Datos de AWS en  https:\/\/d1.awsstatic.com\/legal\/aws-dpa\/aws-dpa.pdf <\/a>e informaci\u00f3n sobre el cumplimiento del RGPD de AWS en  https:\/\/aws.amazon.com\/compliance\/gdpr-center\/<\/a>

Nota sobre las CDN (si corresponde): Si MEFERI utiliza AWS CloudFront o servicios de red de entrega de contenido (CDN) similares para mejorar el rendimiento de los Servicios, es posible que se almacenen temporalmente copias de ciertos datos (normalmente recursos est\u00e1ticos o contenido en cach\u00e9, que pueden incluir o no Datos Personales seg\u00fan la configuraci\u00f3n) en ubicaciones de borde de AWS a nivel mundial. Sin embargo, el almacenamiento autorizado y el procesamiento principal de los Datos Personales del Cliente para los Servicios permanecer\u00e1n en la regi\u00f3n de AWS especificada anteriormente (eu-west-3). MEFERI garantizar\u00e1 que los Datos Personales del Cliente distribuidos a trav\u00e9s de la CDN se gestionen de acuerdo con los requisitos del RGPD.

\u2013 Otros proveedores de infraestructura en la nube para los servicios prestados al cliente en virtud del acuerdo principal:

\u2013 En la actualidad, MEFERI no utiliza otros proveedores de infraestructura en la nube de terceros para el alojamiento principal o la prestaci\u00f3n directa de los Servicios definidos en el Acuerdo Principal, m\u00e1s all\u00e1 de lo descrito anteriormente.

2. Proveedores de servicios de comunicaci\u00f3n:

\u2013 Finalidad: Facilitar las comunicaciones esenciales al Cliente o sus usuarios autorizados en relaci\u00f3n con la prestaci\u00f3n y el uso de los Servicios (por ejemplo, env\u00edo de correo electr\u00f3nico para notificaciones de servicio, restablecimiento de contrase\u00f1as, alertas de seguridad y env\u00edo de SMS para alertas cr\u00edticas o c\u00f3digos de autenticaci\u00f3n de dos factores).

\u2013 Subprocesadores espec\u00edficos utilizados:

\u2013 Para comunicaciones por correo electr\u00f3nico:

\u2013 Entidad: Amazon Web Services EMEA SARL (utilizando Amazon Simple Email Service \u2013 SES).

\u2013 Prop\u00f3sito espec\u00edfico de MEFERI: Para enviar notificaciones por correo electr\u00f3nico transaccionales y relacionadas con el servicio a los usuarios autorizados del Cliente (por ejemplo, alertas de cuenta, restablecimientos de contrase\u00f1as, actualizaciones de servicio, informaci\u00f3n de seguridad cr\u00edtica) en relaci\u00f3n con los Servicios.

Ubicaci\u00f3n del procesamiento: La infraestructura de env\u00edo de correo electr\u00f3nico se ubica principalmente en las regiones de AWS que MEFERI utiliza para sus Servicios (por ejemplo, configurada para enviar desde una regi\u00f3n del EEE como eu-west-1 Irlanda o eu-west-3 Par\u00eds, siempre que sea posible). El procesamiento de cualquier dato personal (como direcciones de correo electr\u00f3nico y contenido de correo electr\u00f3nico) a trav\u00e9s de SES se rige por el Anexo de Procesamiento de Datos de AWS.

\u2013 Garant\u00edas de transferencia de datos: Cubierto por el Anexo de procesamiento de datos de Amazon Web Services, que incluye cl\u00e1usulas contractuales est\u00e1ndar. Disponible.

en: https:\/\/d1.awsstatic.com\/legal\/aws-dpa\/aws-dpa.pdf.<\/a>

\u2013 Para comunicaciones SMS:

\u2013 Entidad: Twilio Inc.

\u2013 Prop\u00f3sito espec\u00edfico para MEFERI: Para enviar notificaciones SMS a los usuarios autorizados del Cliente como parte de los Servicios, como por ejemplo alertas cr\u00edticas o entrega de c\u00f3digos de autenticaci\u00f3n de dos factores (2FA), si dichas funciones est\u00e1n habilitadas y son utilizadas por el Cliente.

\u2013 Naturaleza de los datos procesados: normalmente incluye n\u00fameros de tel\u00e9fono de los usuarios autorizados del Cliente y el contenido de los mensajes SMS (por ejemplo, c\u00f3digos de autenticaci\u00f3n, texto de alerta).

\u2013 Ubicaci\u00f3n del procesamiento: principalmente EE. UU.

Garant\u00edas para la transferencia de datos: Las transferencias de datos personales se rigen por el Anexo sobre Procesamiento de Datos de Twilio, que incorpora las Cl\u00e1usulas Contractuales Tipo (CCT). El cliente puede consultar el APD de Twilio en: https:\/\/www.twilio.com\/legal\/data-protection-addendum.<\/a>

\u2013 Otros proveedores de servicios de comunicaci\u00f3n:

Actualmente, MEFERI no utiliza otros proveedores de servicios de comunicaci\u00f3n externos para el tratamiento de los Datos Personales del Cliente en virtud de este DPA, salvo lo descrito anteriormente para correo electr\u00f3nico y SMS. Si el Cliente introduce y acepta funciones espec\u00edficas que requieran otros tipos de servicios de comunicaci\u00f3n, MEFERI actualizar\u00e1 esta lista y se lo notificar\u00e1 de conformidad con la Secci\u00f3n 6.2 de este DPA.

3. Proveedores de an\u00e1lisis y monitorizaci\u00f3n del rendimiento del servicio:

Finalidad: Supervisar el rendimiento, identificar errores y analizar los patrones de uso de los Servicios de MEFERI (p. ej., Shadowalk Cloud, backend de CIAO Cloud) para mantener y mejorar la estabilidad, la funcionalidad y la experiencia del usuario. Los datos procesados por estos proveedores para los Servicios de MEFERI suelen estar seudonimizados, agregados o constan de datos t\u00e9cnicos\/operativos. MEFERI no utiliza estos proveedores para analizar el contenido espec\u00edfico de los Datos Personales del Cliente dentro de los Servicios, a menos que se lo indique o acuerde expl\u00edcitamente con el Cliente para fines de soporte o resoluci\u00f3n de problemas.

\u2013 Subprocesadores espec\u00edficos utilizados:

\u2013 Entidad: Functional Software, Inc. (que opera como Sentry).

\u2013 Prop\u00f3sito espec\u00edfico para MEFERI: Para seguimiento de errores en tiempo real, diagn\u00f3stico y monitoreo del rendimiento dentro de los servicios basados en la nube de MEFERI (Shadowalk Cloud, backend de CIAO Cloud) para ayudar a identificar y resolver problemas t\u00e9cnicos.

Naturaleza de los datos procesados: Generalmente incluye mensajes de error, seguimientos de pila, informaci\u00f3n del dispositivo\/navegador, direcciones IP (que MEFERI puede configurar para que se anonimicen o no se almacenen cuando sea posible dentro de las capacidades de Sentry) y otros metadatos operativos relacionados con eventos de servicio. MEFERI configura su integraci\u00f3n con Sentry para minimizar la captura de datos personales del cliente.

\u2013 Ubicaci\u00f3n del procesamiento: principalmente EE. UU.

\u2013 Garant\u00edas para la transferencia de datos: Las transferencias se rigen por el Anexo de Procesamiento de Datos de Sentry, que incorpora las Cl\u00e1usulas Contractuales Tipo. Disponible en: https:\/\/sentry.io\/legal\/dpa\/<\/a>

\u2013 An\u00e1lisis de sitios web y portales (MEFERI como responsable del tratamiento):

Para las anal\u00edticas relacionadas con el sitio web corporativo de MEFERI (p. ej., meferi.com) y otros portales p\u00fablicos propiedad de MEFERI donde MEFERI act\u00faa como Responsable del Tratamiento de Datos, la informaci\u00f3n sobre los proveedores de anal\u00edticas (como Google Analytics) y el tratamiento de datos se describe en la Pol\u00edtica de Privacidad general de MEFERI. Estos proveedores no figuran aqu\u00ed como subencargados del tratamiento de datos en virtud de este DPA, a menos que tambi\u00e9n traten Datos Personales del Cliente en nombre de MEFERI en el contexto de los Servicios prestados al Cliente.<\/p>\n

4. Herramientas de soporte y atenci\u00f3n al cliente:<\/p>\n

\u2013 <\/strong>Objetivo: Gestionar las consultas de soporte al cliente, proporcionar servicios de mesa de ayuda y facilitar la comunicaci\u00f3n relacionada con el soporte de los servicios de MEFERI.<\/p>\n

\u2013 Subprocesadores espec\u00edficos utilizados:<\/p>\n