Este Acuerdo de Procesamiento de Datos ("DPA") complementa los Términos y Condiciones publicados en el sitio web https://senecaesg.com/ (la "Plataforma Seneca ESG"), y se celebra automáticamente si usted o los usuarios que actúan en nombre de su organización utilizan la Plataforma Seneca ESG para sus servicios. En estas circunstancias, usted/su organización/empresa se considera que actúa en su propio nombre como el "Responsable" (Controller), y Seneca ESG actuará en su propio nombre como el "Encargado" (Processor), cada uno siendo una "Parte" y conjuntamente las "Partes".

Los términos utilizados en este DPA tendrán los significados establecidos en este DPA.

Este DPA aplica si no existe un DPA presentado por el Responsable firmado por las Partes.

El Responsable se compromete a contar con una base legal válida bajo las Leyes Aplicables para el procesamiento de los Datos Personales que se ingresarán en la Plataforma Seneca ESG.

1. Definiciones

1.1 En este DPA, los siguientes términos tendrán los significados que se indican a continuación y los términos afines se interpretarán en consecuencia:

1.1.1 "Leyes Aplicables" significa (a) las leyes del Reino Unido y la Unión Europea o de los Estados Miembros respecto a cualquier Dato Personal sobre el cual cualquier entidad que procese Datos Personales esté sujeta a dicha legislación; y (b) cualquier otra ley aplicable en relación con la protección de Datos Personales y las personas físicas a las que concierne, a nivel global, según corresponda al procesamiento bajo el servicio de la Plataforma Seneca ESG;

1.1.2 "Datos Personales del Responsable" significa Datos Personales relacionados con el personal del Responsable (empleados; consultores) por Seneca ESG o en la Plataforma Seneca ESG;

1.1.3 "EEE" significa el Espacio Económico Europeo;

1.1.4 "Leyes de Protección de Datos de la UE" significa la Directiva 95/46/CE de la UE, según se haya incorporado en la legislación nacional de cada Estado Miembro y según se modifique, sustituya o derogue periódicamente, incluyendo el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos – GDPR) y las leyes que implementan o complementan el GDPR y (ii) cualquier legislación sobre privacidad de datos, incluyendo la Directiva sobre privacidad electrónica y según se modifique, sustituya o derogue periódicamente;

1.1.5 "GDPR" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y que deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos)

1.1.6 "Datos Personales" significa cualquiera de los siguientes: (i) Datos Personales según se define en la Directiva 95/46/CE de la UE y su transposición a la legislación nacional de cada estado miembro y según se modifique, sustituya o derogue periódicamente; (ii) Datos Personales según se define en el GDPR según se modifique, sustituya o derogue periódicamente; y (iii) datos personales según lo definido en la legislación o leyes locales de protección o privacidad de datos de otro país (incluida Suiza), si corresponde.

1.1.7 "Transferencia Internacional" en el contexto definido por la UE y el Reino Unido no aplica porque todos esos Datos Personales son de acceso público y consisten únicamente en información corporativa del Responsable donde las personas naturales se identifican como miembros del personal del Responsable.

1.1.8 "Servicios" significa los servicios y otras actividades que serán proporcionados o realizados desde la Plataforma Seneca ESG, por o en nombre del Encargado para un Responsable a través del Responsable o directamente por los usuarios del Responsable, de conformidad con los Términos y Condiciones;

1.1.9 "Subencargado" significa cualquier tercero (incluyendo cualquier Afiliado del Encargado, pero excluyendo a un empleado del Encargado o de cualquiera de sus subcontratistas) designado por o en nombre del Encargado o cualquier Afiliado del Encargado para procesar Datos Personales en nombre del Responsable, en relación con los Términos y Condiciones;

1.1.10 "Afiliado del Encargado" significa una entidad que posee o controla, es poseída o controlada por, o está bajo control u propiedad común con el Encargado, donde control se define como la posesión, directa o indirecta, del poder de dirigir o causar la dirección de la gestión y políticas de una entidad, ya sea mediante la propiedad de valores con derecho a voto, por contrato o de otra manera. En el presente caso incluye Seneca ESG Singapur y Países Bajos.

dpa.sections.definitions.terms.title

dpa.sections.definitions.include.title

2. Autoridad

2.1 El Encargado garantiza y declara que, antes de que cualquier Subencargado procese cualquier Dato Personal del Responsable, el Encargado habrá celebrado un DPA con dicho Subencargado que cuente al menos con el mismo nivel de compromiso respecto al cumplimiento de la Ley Aplicable y la protección de los Derechos y Libertades de aquellas personas cuyos Datos Personales están bajo tratamiento.

3. Tratamiento de los Datos Personales del Responsable

3.1 El Encargado y cada Afiliado del Encargado deberán:

3.1.1 cumplir con todas las Leyes Aplicables en el tratamiento de los Datos Personales del Responsable; y

3.1.2 no procesar Datos Personales del Responsable salvo bajo las instrucciones documentadas del Responsable relevante, a menos que el tratamiento sea requerido por Leyes Aplicables a las que esté sujeto el Subencargado relevante, en cuyo caso el Encargado o el Afiliado del Encargado correspondiente informará al Responsable de ese requerimiento legal antes del tratamiento pertinente de esos Datos Personales, en la medida en que las Leyes Aplicables lo permitan.

3.2 El Responsable, en su propio nombre o en nombre de otro Responsable, debe:

3.2.1 instruir al Encargado y a cada Afiliado del Encargado (y autorizar al Encargado y a cada Afiliado del Encargado a instruir a cada Subencargado) para:

3.2.1.1 Procesar Datos Personales del Responsable; y

3.2.1.2 en particular, transferir Datos Personales del Responsable a cualquier país o territorio, según sea razonablemente necesario para la prestación de los Servicios y de conformidad con los Términos y Condiciones.

3.3 El Anexo 1 de este DPA establece cierta información sobre el tratamiento de Datos Personales del Responsable por parte de los Encargados, como lo exige el artículo 28(3) del GDPR (y, posiblemente, requisitos equivalentes de otras Leyes Aplicables). El Responsable podrá realizar modificaciones razonables al Anexo 1 mediante notificación escrita al Encargado cuando lo considere necesario para cumplir con dichos requisitos. Nada en el Anexo 1 (incluidos los cambios realizados en virtud de esta sección 3.3) confiere ningún derecho ni impone ninguna obligación a ninguna parte de este DPA.

4. Personal del Encargado y Afiliados del Encargado

El Encargado y cada Afiliado del Encargado tomarán las medidas razonables para garantizar la fiabilidad de cualquier empleado, agente o contratista de cualquier Subencargado que pueda tener acceso a los Datos Personales del Responsable, asegurándose en cada caso de que el acceso esté estrictamente limitado a aquellos individuos que necesiten conocer/acceder a los Datos Personales relevantes del Responsable, según sea estrictamente necesario para los fines de los Términos y Condiciones, y para cumplir con las Leyes Aplicables en el contexto de las funciones de dicho individuo para el Encargado, asegurándose de que todas esas personas estén sujetas a compromisos de confidencialidad o a obligaciones profesionales o legales de confidencialidad.

5. Seguridad

5.1 Teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, alcance, contexto y fines del tratamiento, así como el riesgo de probabilidad y gravedad variable para los derechos y libertades de las personas físicas, el Encargado y cada Afiliado del Encargado deberán implementar, en relación con los Datos Personales del Responsable, medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado a dicho riesgo, incluyendo, según corresponda, las medidas a que se refiere el artículo 32(1) del GDPR.

5.2 Al evaluar el nivel adecuado de seguridad, el Encargado y cada Afiliado del Encargado deberán tener en cuenta, en particular, los riesgos que presenta el tratamiento, especialmente por una violación de datos personales.

5.3 Las medidas técnicas y organizativas implementadas por el Encargado y cada Afiliado del Encargado se enumeran en el Anexo 2.

6. Subprocesamiento

6.1 El Responsable autoriza al Encargado y a cada Afiliado del Encargado a designar (y permitir que cada Subencargado designado de acuerdo con esta sección 6 designe) Subencargados de conformidad con esta sección 6 y cualquier restricción en los Términos y Condiciones.

6.2 El Encargado y cada Afiliado del Encargado podrán seguir utilizando aquellos Subencargados ya contratados por el Encargado o cualquier Afiliado del Encargado a la fecha de este DPA, sujeto a que el Encargado y cada Afiliado del Encargado, en cada caso, cumplan lo antes posible con las obligaciones establecidas en la sección 6.4.

6.3 El Responsable autoriza al Encargado a subcontratar subencargados que considere necesarios para la adecuada prestación de los servicios acordados en el contrato principal. A solicitud del Responsable, el Encargado proporcionará una lista actualizada de todas las categorías de subcontratistas involucrados en la prestación de los servicios contratados.

El subencargado también será considerado encargado en los mismos términos que el Encargado en este acuerdo. En este sentido, el Encargado se compromete a firmar un acuerdo de procesamiento de datos con el subencargado externo, por el cual el Subencargado se compromete a cumplir con las obligaciones establecidas en este acuerdo, como Subencargado.

En todo caso, se impondrán al subcontratista las mismas obligaciones de protección de datos, de modo que el tratamiento cumpla con las disposiciones del GDPR (siendo actualmente la legislación de protección de datos personales más completa y en vigor).

6.4 Con respecto a cada Subencargado, el Encargado o el Afiliado del Encargado relevante deberá:

6.4.1 antes de que el Subencargado procese por primera vez los Datos Personales del Responsable (o, cuando corresponda, de acuerdo con la sección 6.2), realizar la debida diligencia adecuada para asegurarse de que el Subencargado sea capaz de proporcionar el nivel de protección requerido por los Términos y Condiciones;

6.4.2 asegurarse de que el acuerdo entre, por una parte (a) el Encargado, o (b) el Afiliado del Encargado relevante, o (c) el Subencargado intermediario relevante; y por la otra parte, el Subencargado, esté regido por un contrato escrito que incluya términos que ofrezcan al menos el mismo nivel de protección para los Datos Personales del Responsable que los establecidos en este DPA y cumpla los requisitos del artículo 28(3) del GDPR;

6.5 El Encargado y cada Afiliado del Encargado deberán asegurarse de que cada Subencargado cumpla con las obligaciones de las secciones 3.1, 4, 5, 7.1, 8.2, 9 y 11.1, en la medida en que apliquen al tratamiento de Datos Personales del Responsable llevado a cabo por ese Subencargado, como si fuera parte de este DPA en lugar del Encargado.

7. Derechos de los interesados

7.1 Teniendo en cuenta la naturaleza del tratamiento, el Encargado y cada Afiliado del Encargado implementarán medidas técnicas y organizativas adecuadas, en la medida de lo posible, para cumplir con sus obligaciones legales y responder al ejercicio de los derechos de los interesados según las Leyes Aplicables.

7.2 El Encargado deberá:

7.2.1 notificar puntualmente al Responsable si el Encargado o cualquier Subencargado recibe una solicitud de un interesado bajo cualquier Ley Aplicable respecto a Datos Personales del Responsable; y

7.2.2 asegurarse de que ni el Encargado ni su Subencargado respondan a dicha solicitud salvo bajo instrucciones documentadas del Responsable o según lo exijan las Leyes Aplicables a las que el Encargado o el Subencargado estén sujetos, en cuyo caso el Encargado, en la medida permitida por la Ley Aplicable, informará al Responsable de ese requerimiento legal antes de que el Subencargado responda a la solicitud.

8. Violación de Datos Personales

8.1 El Encargado notificará al Responsable sin demora indebida cuando el Encargado o cualquier Subencargado tenga conocimiento de una violación de datos personales de su lado que afecte a los Datos Personales del Responsable, proporcionando al Responsable información suficiente para que este pueda cumplir cualquier obligación de informar o notificar a los interesados o autoridades de supervisión conforme a las Leyes Aplicables. Dicha notificación contendrá como mínimo la siguiente información:

8.1.1 describir la naturaleza de la violación de datos personales, las categorías y número de interesados afectados, y las categorías y número de registros de datos personales afectados;

8.1.2 comunicar el nombre y datos de contacto del responsable de protección de datos del Encargado u otro contacto relevante para obtener más información;

8.1.3 describir las posibles consecuencias de la violación de datos personales; y

8.1.4 describir las medidas adoptadas o propuestas para abordar la violación de datos personales.

8.2 El Encargado cooperará con el Responsable y tomará las medidas comerciales razonables que indique el Responsable para ayudar en la investigación, mitigación y remediación de cada violación de datos personales.

9. Evaluación de Impacto y Consulta Previa

El Encargado y cada Afiliado del Encargado prestarán asistencia razonable al Responsable con cualquier evaluación de impacto de protección de datos y consultas previas con las Autoridades de Supervisión u otras autoridades competentes en materia de privacidad de datos, según se definen en los artículos 35 o 36 del GDPR o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el tratamiento de Datos Personales del Responsable y teniendo en cuenta la naturaleza del tratamiento y la información disponible para los Subencargados.

10. Eliminación o devolución de los Datos Personales del Responsable

10.1 Sujeto a la sección 10.2, el Responsable podrá, a su entera discreción y mediante notificación escrita al Encargado, solicitar que dentro de los treinta (30) días posteriores a la Fecha de Cese, el Encargado y cada Afiliado del Encargado (a) devuelvan una copia completa de todos los Datos Personales del Responsable mediante transferencia segura en el formato razonablemente notificado por el Responsable al Encargado; y (b) eliminen y garanticen la eliminación de todas las demás copias de los Datos Personales del Responsable procesadas por cualquier Subencargado. El Encargado y cada Afiliado del Encargado deberán cumplir con dicha solicitud dentro de los 30 días posteriores a la Fecha de Cese.

10.2 Cada Subencargado podrá retener Datos Personales del Responsable en la medida en que lo exijan las Leyes Aplicables y solo en la medida y durante el período que dichas leyes requieran, y siempre que el Encargado y cada Afiliado del Encargado garanticen la confidencialidad de todos dichos Datos Personales y aseguren que estos datos solo se procesen según sea necesario para los fines especificados en las Leyes Aplicables y para ningún otro propósito.

10.3 El Encargado proporcionará al Responsable un documento de confirmación por escrito certificando que el Encargado y sus Subencargados han cumplido plenamente con esta sección 10 dentro de los 30 días posteriores a la Fecha de Cese.

10.4 Para los fines de esta cláusula, "eliminar" significa remover o destruir Datos Personales para que no puedan ser recuperados ni reconstruidos; "Fecha de Cese" significa la fecha de terminación de cualquier servicio que implique el procesamiento de Datos Personales del Responsable.

11. Derechos de auditoría

11.1 El Encargado y cada Afiliado del Encargado pondrán a disposición del Responsable, previa solicitud, toda la información necesaria para demostrar el cumplimiento de este DPA.

12. Términos Generales

Ley aplicable y jurisdicción

12.1 Sin perjuicio de las cláusulas 7 (Mediación y Jurisdicción):

12.1.1 las Partes de este DPA se someten a la jurisdicción estipulada en los Términos y Condiciones con respecto a cualquier disputa o reclamación que surja en virtud de este DPA, incluidas disputas sobre su existencia, validez, terminación o las consecuencias de su nulidad; y

12.1.2 este DPA y todas las obligaciones extracontractuales o de otro tipo derivadas de él o relacionadas con él se rigen por las leyes del país o territorio estipulado a tal efecto en los Términos y Condiciones.

Orden de precedencia

12.2 Nada en este DPA reduce las obligaciones del Encargado o cualquier Afiliado del Encargado en virtud de los Términos y Condiciones en relación con la protección de Datos Personales ni permite que el Encargado o cualquier Afiliado procese (o permita el procesamiento de) Datos Personales de una manera prohibida por los Términos y Condiciones.

12.3 Con respecto al objeto de este DPA, en caso de inconsistencias entre las disposiciones de este DPA y cualquier otro acuerdo entre las Partes, incluidos los Términos y Condiciones e incluyendo (excepto cuando se acuerde expresamente por escrito y firmado en nombre de las Partes) acuerdos celebrados o supuestamente celebrados después de la fecha de este DPA, prevalecerán las disposiciones de este DPA.

Cambios en las Leyes Aplicables, etc.

12.4 El Responsable puede:

12.4.1 mediante notificación escrita al Encargado, proponer cualquier otra modificación a este DPA que considere razonablemente necesaria para cumplir con los requisitos de cualquier Ley de Protección de Datos.

12.5 Si el Responsable da aviso conforme a la sección 12.4.1:

12.5.1 El Encargado y cada Afiliado del Encargado cooperarán prontamente (y garantizarán que los Subencargados afectados cooperen de igual forma) para asegurar que se realicen modificaciones equivalentes en cualquier acuerdo celebrado en virtud de la sección 6.4.3; y

12.5.2 El Responsable no retendrá ni retrasará injustificadamente el acuerdo a cualquier modificación consecuente a este DPA propuesta por el Encargado para proteger a los Subencargados de riesgos adicionales asociados con las modificaciones realizadas bajo la sección 12.4.1 y/o 12.5.1.

12.6 Si el Responsable da aviso bajo la sección 12.4.1, las Partes discutirán prontamente las modificaciones propuestas y negociarán de buena fe con el objetivo de acordar e implementar dichas modificaciones o alternativas diseñadas para abordar los requisitos identificados en la notificación del Responsable lo antes posible.

12.7 Ni el Responsable ni el Encargado requerirán el consentimiento o aprobación de ningún Afiliado del Responsable o del Encargado para enmendar este DPA en virtud de esta sección 12.5 o de otra manera.

Divisibilidad

12.8 Si alguna disposición de este DPA fuera inválida o inaplicable, el resto de este DPA permanecerá válido y en vigor. La disposición inválida o inaplicable será (i) enmendada según sea necesario para garantizar su validez y aplicabilidad, preservando las intenciones de las Partes en la mayor medida posible o, si esto no es posible, (ii) interpretada como si la parte inválida o inaplicable nunca hubiera estado contenida en el mismo.

12.9 Información de contacto de las Partes.

Cada Parte queda informada de que la información de contacto de sus representantes y empleados será procesada por la otra Parte con el propósito de ejecutar, desarrollar, cumplir y controlar la prestación de los servicios acordados, considerando el cumplimiento de las obligaciones contractuales como base legal para dicho tratamiento. Los datos personales se conservarán durante la vigencia del acuerdo comercial y durante los plazos legales de prescripción tras la terminación del acuerdo para cumplir con cualquier responsabilidad derivada. Asimismo, cada una de las Partes cumplirá con su obligación de informar a sus respectivos representantes y empleados.

Los datos de las Partes podrán ser transferidos a bancos y entidades financieras para la gestión de pagos y cobros, a la Agencia Tributaria y otras Administraciones Públicas con el fin de realizar las declaraciones fiscales correspondientes y cumplir con sus obligaciones legales, conforme a la normativa aplicable, y a las Administraciones Públicas en caso de requerimientos legales.

Las Partes podrán solicitar el acceso, rectificación, supresión, portabilidad y limitación del tratamiento de los datos personales referidos en esta cláusula, así como oponerse a dicho tratamiento, en la dirección de las Partes especificada en el Anexo 3.

12.10 Responsabilidad

El Encargado será responsable de todas las sanciones y multas derivadas del incumplimiento de las obligaciones establecidas en este acuerdo.

Anexo 1: Descripción del Tratamiento de Datos Personales

Este Anexo incluye ciertos detalles del Tratamiento de Datos Personales requeridos por el artículo 28(3) del GDPR.

Objeto y duración del tratamiento de datos personales

El objeto y la duración del tratamiento de datos personales se establecen en los Términos y Condiciones y la Política de Privacidad.

La naturaleza y finalidad del tratamiento de datos personales

La naturaleza y finalidad del tratamiento de datos personales se establecen en los Términos y Condiciones y la Política de Privacidad.

Categorías de interesados a quienes se refieren los datos personales

Los interesados cuyos Datos Personales serán tratados por el Encargado consisten en miembros del personal del Responsable bajo una perspectiva y contexto B2B.

Tipos de Datos Personales a ser tratados

Datos de contacto (nombre; correo electrónico; etc...)

Datos laborales (Responsable; cargo; etc...)

Datos operativos (acciones del usuario en la plataforma)

Obligaciones y derechos del Encargado y sus Afiliados

El Encargado tiene la obligación de cumplir y observar los requisitos de las Leyes Aplicables, principalmente y específicamente el Reglamento (UE) 2016/679 (la Legislación General de Protección de Datos – GDPR), que según la ley de la Unión Europea prevalece sobre la legislación local de transposición de cada estado miembro.