Apéndice de tratamiento de datos Firebase

INTRODUCCIÓN

Este Apéndice de Procesamiento de Datos forma parte del acuerdo entre usted e iProov Limited que cubre su uso de los Servicios de Prueba.

Las definiciones que figuran en el Anexo 3 se aplicarán a la presente Adenda relativa al tratamiento de datos. Si un término no se define de otro modo en el Anexo 3 de la presente Adenda relativa al tratamiento de datos o en otra parte de la misma, dichos términos tendrán el significado que se les atribuye en el resto del Acuerdo.

1. TRATAMIENTO DE DATOS PERSONALES

1.1 En la ejecución de los Servicios de prueba:

    1. iProov actúa como procesador; y
    2. usted actúa como controlador.

1.2 iProov procesará Sus Datos Personales de conformidad con las obligaciones de los Procesadores en virtud de las Leyes de Protección de Datos del Reino Unido y de la UE.

1.3 iProov tratará datos personales para prestar los Servicios de Ensayo de conformidad con el Acuerdo. El Anexo 1 (Detalles del tratamiento de datos) especifica además la naturaleza y la finalidad del tratamiento, las actividades de tratamiento, la duración del tratamiento, los tipos de datos personales y las categorías de interesados.

1.4 Usted designa a iProov como procesador para procesar Sus Datos Personales en nombre de, y de acuerdo con, sus instrucciones (a) según lo establecido en el Acuerdo (que incluye este Anexo de Procesamiento de Datos), y según sea necesario para que iProov le proporcione los Servicios de Prueba, que incluyen (pero no se limitan a) (i) investigar incidentes de seguridad y prevenir spam, actividad fraudulenta e infracciones de la Política de Uso Aceptable y (ii) detectar y prevenir explotaciones o abusos de la red; (b) según sea necesario para cumplir con la ley o regulación aplicable, incluyendo la Legislación de Protección de Datos; y (c) según lo acordado por escrito entre iProov y usted.

1.5 Usted garantiza, declara y se compromete a que en todo momento:

    1. se asegurará de que sus instrucciones cumplen la legislación sobre protección de datos;
    2. se ha proporcionado un tratamiento justo y todos los demás avisos apropiados a los Sujetos de Datos de Sus Datos Personales (y se han obtenido y mantenido en todo momento todos los consentimientos necesarios de dichos Sujetos de Datos) en la medida exigida por la Legislación de Protección de Datos en relación con todas las actividades de tratamiento con respecto a Sus Datos Personales que puedan ser llevadas a cabo por iProov y / o sus subprocesadores en virtud del Acuerdo y del presente Anexo de Tratamiento de Datos;
    3. ha cumplido, y seguirá cumpliendo, la Legislación sobre Protección de Datos en relación con el uso de los Servicios de Ensayo y su propio tratamiento de datos personales y el ejercicio y cumplimiento de sus respectivos derechos y obligaciones en virtud del Acuerdo, incluido el mantenimiento de todos los registros y notificaciones reglamentarios pertinentes, tal como exige la Legislación sobre Protección de Datos;
    4. usted tiene, y seguirá teniendo, derecho a transferir, o facilitar el acceso a cualquier dato personal a iProov para su tratamiento de conformidad con los términos del Acuerdo y del presente Anexo sobre Tratamiento de Datos;
    5. si lo suscribe como Organización, usted y la Organización han llevado a cabo la diligencia debida en relación con el negocio, las operaciones de procesamiento y los compromisos de iProov y usted está satisfecho (y en todo momento en que continúe utilizando los Servicios de prueba sigue estando satisfecho) de que:
      1. Las operaciones de procesamiento de iProov son adecuadas para los fines para los que Usted propone utilizar los Servicios de prueba y contratar a iProov para procesar Sus Datos personales;
      2. las medidas técnicas y organizativas establecidas en el presente Apéndice sobre Tratamiento de Datos y en el Acuerdo (cada uno de ellos actualizado periódicamente) garantizarán (si iProov cumple con sus obligaciones en virtud de los mismos) un nivel de seguridad adecuado al riesgo con respecto a Sus Datos Personales, tal como exige la Legislación sobre Protección de Datos; y
      3. iProov dispone de experiencia, fiabilidad y recursos suficientes para aplicar medidas técnicas y organizativas que cumplan los requisitos de la legislación en materia de protección de datos.

1.6 Usted reconoce que iProov no es responsable de determinar qué leyes o reglamentos son aplicables a Usted, su negocio u Organización, ni si la prestación por iProov de los Servicios de Prueba cumple o cumplirá los requisitos de cualquiera de dichas leyes. Usted se asegurará de que el procesamiento por iProov de Sus Datos Personales, cuando se haga de conformidad con el Contrato, no hará que iProov viole ninguna ley o reglamento aplicable, incluyendo cualquier Legislación de Protección de Datos. iProov le informará si tiene conocimiento, o cree razonablemente, que sus instrucciones violan cualquier Legislación de Protección de Datos.

2.1 SEGURIDAD

2.1 iProov aplicará las medidas técnicas y organizativas establecidas en el Anexo 2 del presente Anexo de Tratamiento de Datos en relación con su Tratamiento de Sus Datos Personales.

2.2 Usted deberá evaluar si las medidas de seguridad aplicadas de conformidad con el apartado 2.1 son suficientes para proteger sus Datos Personales frente a la destrucción, pérdida, alteración, difusión o acceso accidental, no autorizado o ilícito, en la medida exigida por la legislación sobre protección de datos, según las circunstancias.

2.3 Usted reconoce que iProov proporciona un servicio comoditizado de uno a muchos y que las necesidades o evaluaciones de otros clientes pueden diferir e iProov no estará obligado a implementar medidas de seguridad diferentes para usted, pero podrá dejar de utilizar los Servicios de Prueba, si concluye que las medidas adoptadas por iProov no son suficientes para sus necesidades.

3. SUBPROCESAMIENTO

3.1 iProov no subcontratará ningún Procesamiento de los Datos Personales a un subprocesador de terceros sin su consentimiento previo por escrito y se asegurará de que dicho subprocesador (cada uno, un "Subprocesador") esté vinculado por términos que (i) sean al menos equivalentes a los términos establecidos en este Anexo de Procesamiento de Datos, o (ii) en el caso de los Proveedores de Servicios en la Nube, sean los términos que el Proveedor de Servicios en la Nube ofrece a modo de cumplimiento de las Leyes de Protección de Datos del Reino Unido y de la UE. Por la presente usted consiente y autoriza (a) a iProov Limited y (b) a los siguientes (cada uno de ellos un "Proveedor de Servicios en la Nube") como encargados del tratamiento: Microsoft Limited c/o Microsoft Ireland Operations Limited, One Microsoft Place, South County Industrial Park, Leopardstown, Dublín, Irlanda (u otro miembro de su grupo) con respecto al servicio Azure; AWS EMEA SARL (una entidad luxemburguesa) (u otro miembro de su grupo) con respecto a Amazon Web Services (AWS); Google Ireland Limited, con oficinas en Gordon House, Barrow Street, Dublín 4, Irlanda (u otro miembro de su grupo) con respecto a Google GCP.

3.2 iProov será y seguirá siendo plenamente responsable de todos los actos y omisiones de cada Subprocesador como si fueran propios.

4. DERECHOS DEL INTERESADO

iProov le ayudará a responder a las Solicitudes del Sujeto de Datos en la medida en que sea técnicamente factible y requerido por las Leyes de Protección de Datos del Reino Unido y de la UE. iProov, sin demora indebida, le notificará cualquier Solicitud del Sujeto de Datos y sólo responderá a ellas con sus instrucciones por escrito (a su coste y expensas) o según lo requiera la ley. A menos que esté prohibido por la Legislación de Protección de Datos, usted es responsable de cualquier coste y/o gasto incurrido por iProov en la prestación de esta asistencia y reembolsará a iProov cualquier coste y/o gasto inmediatamente a petición de iProov.

5. VIOLACIONES DE DATOS PERSONALES

iProov le notificará sin demora indebida en el momento en que iProov tenga conocimiento de una Violación de Datos Personales que afecte a Sus Datos Personales y iProov le proporcionará la información que se requiera de iProov en virtud de la Legislación de Protección de Datos aplicable (en la medida en que dicha información esté, en ese momento, bajo el control o posesión de iProov).

6. EVALUACIÓN DE IMPACTO DE LA PROTECCIÓN DE DATOS Y CONSULTA PREVIA

iProov le proporcionará una cooperación razonable en relación con cualquier evaluación de impacto de protección de datos o consultas con las autoridades reguladoras que puedan ser necesarias de conformidad con la Legislación de Protección de Datos (a su coste y expensas).

7. DEVOLUCIÓN O SUPRESIÓN DE DATOS PERSONALES.

7.1 Sujeto al párrafo 7.2 y al Período de Retención, a la terminación o expiración del Contrato, iProov, de conformidad con el Anexo 1 (Detalles del Procesamiento) de este Anexo de Procesamiento de Datos, borrará o anonimizará irreversiblemente (a discreción de iProov) Sus Datos Personales almacenados o Procesados como parte de o dentro de los Servicios de Prueba.

7.2 A pesar de cualquier disposición en contrario en este Anexo de Procesamiento de Datos, iProov puede retener sus Datos Personales, o cualquier parte de ellos, si así lo requiere la ley o regulación aplicable, incluyendo la Legislación de Protección de Datos.

7.3 Durante cualquier período durante el cual se conserven Sus Datos Personales tras la rescisión o expiración de este Acuerdo de conformidad con este párrafo, iProov se asegurará de que Sus Datos Personales:

      1. sólo se procesa en la medida necesaria para los fines descritos en el presente Anexo sobre Tratamiento de Datos; y
      2. permanece protegida de conformidad con los términos del Acuerdo, el presente Apéndice sobre Tratamiento de Datos y las leyes de protección de datos del Reino Unido y la UE.

8. DERECHOS DE AUDITORÍA

8.1 iProov pondrá a su disposición, dentro de un plazo razonable a partir de su solicitud por escrito, la información que iProov considere razonablemente apropiada, dadas las circunstancias, para demostrar su conformidad con el presente Anexo sobre Tratamiento de Datos.

8.2 Si Ud. demuestra razonablemente que la información facilitada por iProov en virtud del Párrafo 8.1 es insuficiente para demostrar el cumplimiento por iProov del presente Anexo de Procesamiento de Datos, iProov le permitirá a Ud. o a su auditor (el "Auditor") (que incluirá auditores internos y externos y, en su caso, Autoridades de Supervisión) el acceso durante el horario normal de trabajo de iProov y con un preaviso razonable (y en cualquier caso con un preaviso mínimo de 60 días), para auditar cualesquiera registros y materiales pertinentes en poder de iProov, que sean necesarios para demostrar dicho cumplimiento. Dicho acceso estará sujeto a lo siguiente:

      1. Las auditorías se realizarán a distancia, a menos que la ley exija una visita in situ;
      2. usted se compromete a cumplir y se asegurará de que cualquier Auditor cumpla con la Legislación de Protección de Datos y cualquier requisito razonable de seguridad y confidencialidad de iProov;
      3. el acceso sólo se concederá en los locales y sistemas determinados por iProov a su razonable discreción, (y para evitar dudas, será razonable que iProov tenga en cuenta a cualquier otro cliente de iProov, cualquier interrupción del negocio de iProov y cualquier obligación de confidencialidad de iProov, a la hora de determinar qué acceso es razonable);
      4. no se dará acceso a ningún registro, material o sistema que contenga información relativa a otros clientes de iProov;
      5. no se dará acceso a ningún auditor que no presente pruebas razonables de su identidad o autoridad; y
      6. El acceso no se concederá en más de una ocasión en un período renovable de 12 meses, a menos que usted demuestre a iProov que se requiere una auditoría con mayor frecuencia, con el fin de cumplir con sus obligaciones en virtud de la legislación aplicable en materia de protección de datos.

8.3 Usted hará y procurará que sus Auditores hagan todo lo posible para evitar cualquier daño o interrupción a los locales, equipos, personal, datos o negocios de iProov durante cualquier auditoría in situ y usted indemnizará a iProov por cualquier daño o interrupción de este tipo.

8.4 Ud. pagará (y reembolsará a iProov a petición) todos los costes y gastos de iProov en relación con la realización de la auditoría, a menos que dicha auditoría revele que iProov ha incumplido materialmente sus obligaciones en virtud del presente apartado 8, en cuyo caso iProov correrá con sus propios costes y gastos.

9. TRATAMIENTO DE DATOS PERSONALES DE RESIDENTES EN CALIFORNIA

9.1 A efectos del presente apartado 9, los términos "negocio", "propósito comercial", "vender" y "proveedor de servicios" tendrán los significados respectivos que se les atribuyen en la CPRA, y por "información personal" se entenderá Sus Datos Personales que constituyan información personal regulada por la CPRA.

9.2 Con respecto a cualquier información personal, iProov es un proveedor de servicios. iProov no (a) venderá ninguna información personal; (b) con sujeción al Párrafo 7 retendrá, utilizará o revelará ninguna información personal para ningún fin distinto del fin específico de prestar el Servicio de Prueba, incluyendo la retención, utilización o revelación de la información personal para un fin comercial distinto de la prestación del Servicio de Prueba; o (c) con sujeción al Párrafo 7, retendrá, utilizará o revelará la información personal fuera de la relación comercial directa entre iProov y Usted. iProov certifica por la presente que comprende sus obligaciones en virtud del presente apartado 9.2 y que las cumplirá.

9.3 Se reconoce que la retención, uso y divulgación por parte de iProov de la información personal documentada en este Anexo de Procesamiento de Datos es parte integrante del procesamiento y prestación de los Servicios de Prueba por parte de iProov.

10. TRANSFERENCIAS INTERNACIONALES DE DATOS

10.1 Durante el proceso de instalación de la Extensión, se le proporcionará una opción para seleccionar el país dentro del cual iProov alojará Sus Datos Personales en relación con su uso o acceso a los Servicios de Prueba (la "Región deAlojamiento") y usted acepta que, si es una opción, seleccionará el país dentro del cual los Servicios de Prueba serán utilizados o puestos a disposición (o predominantemente utilizados o puestos a disposición, según corresponda), como la Región de Alojamiento.

10.2 iProov (y sus Subprocesadores) sólo podrá Transferir sus Datos Personales a (o procesar sus Datos Personales en) los siguientes países: el Reino Unido, la UE y la Región de Hosting (conjuntamente, los "Territorios") y usted autoriza por la presente a iProov (o a cualquier Subprocesador) a Transferir sus Datos Personales a cualquiera de los Territorios y este párrafo 10 constituirá su instrucción con respecto a las Transferencias.

11. INCORPORACIÓN Y PRECEDENCIA

En la medida en que exista algún conflicto o incoherencia entre el presente Apéndice sobre Tratamiento de Datos y el resto del presente Contrato, prevalecerán los términos del presente Apéndice sobre Tratamiento de Datos.

ANEXO 1

DETALLES DEL TRATAMIENTO DE DATOS

Este Anexo 1 incluye ciertos detalles sobre el Tratamiento de sus Datos Personales, tal y como exige el artículo 28(3) GDPR.

Detalles del tratamiento

Categorías de interesados: usted y/o los Usuarios
Categorías de datos personales:
  • Datos de interacción del usuario (incluye datos sobre cómo interactúan los usuarios con el servicio)
  • Información relativa al dispositivo del interesado, que puede incluir una dirección IP
  • Dirección IP del dispositivo del Sujeto de los Datos conectado a los Servicios de Ensayo y/o a la Aplicación.
  • Credenciales de autenticación, incluidas las claves API y los secretos utilizados para identificar a los interesados.
  • Imágenes faciales del Sujeto de los Datos creadas al utilizar los Servicios de Prueba, por ejemplo, imágenes tomadas con la cámara del dispositivo.
  • Nombre de usuario seudónimo del interesado
  • Identificador de una instancia instalada de Android, IOS o Flutter.
  • Una plantilla biométrica suya / de los usuarios
Naturaleza y finalidad del tratamiento:
  • Tratamiento de conformidad con los derechos y obligaciones de las partes en virtud del Acuerdo;
  • el procesamiento que sea razonablemente necesario para prestar los Servicios de prueba; y
  • procesamiento iniciado, solicitado o instruido por usted o los Usuarios en relación con el uso de los Servicios de prueba.
Duración del tratamiento: Durante la vigencia del Contrato o (si es más larga) de acuerdo con sus instrucciones.

Con respecto a cada imagen facial de cualquier Sujeto de Datos creada o transferida a iProov en relación con el uso de los Servicios de Prueba, iProov eliminará la imagen facial pertinente en un plazo no superior a 14 días tras el Procesamiento de la misma en relación con su prestación de los Servicios de Prueba (el "Período de Retención").

ANEXO 2

MEDIDAS DE SEGURIDAD

iProov mantiene el cumplimiento de la norma de seguridad ISO/IEC 27001:2013 cuyo alcance incluirá los Servicios de prueba que se le prestan y que incluye las siguientes normas:

  • ISO/IEC 27001:2013 sección 5.3 - Funciones, responsabilidades y autoridades de la organización.
  • ISO/IEC 27001:2013 sección 8.2 - Evaluación de riesgos para la seguridad de la información
  • ISO/IEC 27002:2013 sección 9 - Control de acceso
  • ISO/IEC 27002:2013 sección 10 - Criptografía
  • ISO/IEC 27002:2013 sección 9.2.4 - Gestión de la información secreta de autenticación de los usuarios
  • ISO/IEC 27002:2013 sección 11.1 - Gestión de áreas seguras
  • ISO/IEC 27002:2013 sección 12.1.2 - Gestión de cambios
  • ISO/IEC 27002:2013 sección 16.1 - Gestión de incidentes y mejoras en la seguridad de la información
  • ISO/IEC 27002:2013 sección 13.1 - Gestión de la seguridad de la red
  • ISO/IEC 27002:2013 sección 12.6 - Gestión de la vulnerabilidad técnica
  • ISO/IEC 27002:2013 sección 17 - Aspectos de seguridad de la información de la gestión de la continuidad del negocio.

ANEXO 3

DEFINICIONES

  1. En la presente Adenda relativa al tratamiento de datos, los términos tendrán el significado que se les atribuye en el presente Anexo 3.
  2. Todo término en mayúsculas que no se defina en el presente anexo 3 o en el Acuerdo tendrá el significado que se le atribuye en el GDPR del Reino Unido.
  • "Ley aplicable" significa lo siguiente en la medida en que forme parte de la legislación de cualquier jurisdicción aplicable:
  1. a) cualquier ley, legislación, reglamento, ordenanza o legislación subordinada vigente en cada momento;
  2. b) el derecho consuetudinario y las leyes de equidad aplicables en cada momento;
  3. c) cualquier orden, sentencia o decreto judicial vinculante; o
  4. d) cualquier dirección, política, norma u orden aplicable dictada por cualquier organismo regulador que tenga jurisdicción sobre una parte o cualquiera de los activos, recursos o negocios de dicha parte;
  • "Información biométrica" significa cualquier información, independientemente de cómo se capture, convierta, almacene o comparta, basada en el Identificador Biométrico de un individuo utilizado para identificar a un individuo.
  • "Leyes de Información Biométrica" se refiere a todas y cada una de las Leyes Aplicables y leyes y reglamentos vinculantes de información biométrica que se relacionan con el uso de Información Biométrica o datos biométricos.
  • "Identificador biométrico"características fisiológicas, biológicas o de comportamiento de una persona, incluido su ácido desoxirribonucleico (ADN), que pueden utilizarse, por separado o en combinación entre sí o con otros datos de identificación, para determinar la identidad de una persona. Los identificadores biométricos pueden incluir, entre otros, imágenes del iris, la retina, las huellas dactilares o la cara, la mano, la palma de la mano, patrones de venas y grabaciones de voz o vídeo, a partir de los cuales puede extraerse una plantilla identificadora, como una huella facial, una plantilla de puntos característicos o una huella vocal, y patrones o ritmos de pulsación de teclas, patrones o ritmos de marcha y datos de sueño, salud o ejercicio que contengan información identificadora.
  • "CPRA" significa la Ley de Derechos de Privacidad de California de 2020 y cualquier normativa vinculante promulgada en virtud de la misma.
  • "Legislación sobre protección de datos" se refiere a cualquier Legislación Aplicable relacionada con (i) la privacidad y seguridad de los datos, incluyendo (pero sin limitarse a) el GDPR y la CPRA o (ii) los datos biométricos o la Información Biométrica, incluyendo las Leyes de Información Biométrica;
  • "Solicitud del interesado" se refiere al ejercicio por parte de los Sujetos de Datos de sus derechos en virtud de, y de conformidad con, el Capítulo III del GDPR, con respecto a Sus Datos Personales.
  • "Borrar" significa eliminar u obliterar Datos Personales de forma que no puedan recuperarse o reconstruirse, y "Supresión"se interpretará en consecuencia.
  • "EEE"se refiere al Espacio Económico Europeo.
  • "GDPR"en la medida en que sea aplicable:
  1. a) Reglamento(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (el "RGPD DE LA UE"); y/o
  2. b) el GDPR de la UE, ya que forma parte de la legislación del Reino Unido en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) de 2018, en su versión modificada (incluso por el Reglamento de Protección de Datos, Privacidad y
    c) Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019) (el "    GDPR DEL REINO UNIDO").
  • "Garantías legales"se refiere a los mecanismos legalmente exigibles para las transferencias de datos personales que puedan permitir las leyes de protección de datos del Reino Unido y de la UE;
  • "Violación de Datos Personales" significa cualquier violación real o razonablemente sospechada de la seguridad que conduzca a la destrucción accidental, ilegal o no autorizada, pérdida, alteración, encriptación, adquisición, divulgación o acceso a los Datos Personales transmitidos, almacenados o procesados de otro modo por iProov en virtud o en relación con el Acuerdo.
  • "Período de retención"se entenderá el período identificado como tal en el Anexo 1.
  • "Autoridad supervisora significa:
  1. a) en en el contexto del Reino Unido y del GDPR del Reino Unido, la Oficina del Comisario de Información del Reino Unido;
  2. b) en el contexto del EEE y del RGPD de la UE, tiene el significado que se le da en el artículo 4, apartado 21, del RGPD de la UE; y
  3. c) cualquier otra autoridad reguladora, gubernamental o pública independiente establecida con jurisdicción sobre la totalidad o parte de (a) la aplicación de la Legislación sobre Protección de Datos; y (b) los Servicios de Prueba.
  • "Transferencia tiene el mismo significado que la palabra "transferencia" en el artículo 44 del GDPR (y términos relacionados como Transferencias, Transferidos y Transferencia tienen los significados correspondientes).
  • "Leyes de protección de datos del Reino Unido y de la UE" se refiere a las Leyes Aplicables sobre protección de datos o privacidad que se aplican en el Reino Unido y la UE, incluidos el GDPR y la Ley de Protección de Datos de 2018 en el Reino Unido.
  • "Sus Datos Personales significa los Datos Personales que son Procesados por o en nombre de iProov en su nombre (que incluye cualquier Dato Personal de sus Usuarios o de la Organización) en virtud o en relación con el Acuerdo (que incluye el presente Anexo de Procesamiento de Datos).