Addenda de Procesamiento de Datos de RingCentral

El presente Addenda de Procesamiento de Datos ("DPA") se realiza por y entre RingCentral y el Cliente (cada uno de ellos una "Parte", juntos las "Partes"), y es complementario al contrato ejecutado entre las Partes al que se adjunta ("Contrato") para la prestación de los Servicios (como se define a continuación) al Cliente.

Los términos en mayúsculas utilizados pero no definidos en este DPA tienen el mismo significado que el establecido en el Contrato.

1.    Definiciones
1.1     A los efectos de la presente DPA:
        (a)    "Afiliada" significa una persona o entidad que está controlada por una de las Partes del presente documento, controla una de las Partes del presente documento         o está bajo el control común de una de las Partes del presente documento, y "control" significa la propiedad efectiva de más del cincuenta por ciento (50%) de los         valores con derecho a voto o de las participaciones de una entidad en ese momento. 
        (b)    "Contrato" significa el contrato principal escrito o electrónico entre el Cliente y RingCentral para la prestación de cualquiera de los servicios de RingCentral al         Cliente (cada uno un "Servicio" y colectivamente los "Servicios"). 
        (c)    "Ley(es) de Protección de Datos Aplicable(s)" se refiere a todas las leyes de protección de datos y privacidad aplicables a RingCentral en el tratamiento de los         Datos Personales en virtud de este DPA.
        (d)    "Responsable del Tratamiento": la entidad que, sola o conjuntamente con otras, determina los fines y los medios del tratamiento de los Datos Personales. 
        (e)    "Datos Personales del Cliente" significa cualquier dato personal que RingCentral procese como Encargado del Tratamiento en virtud del Contrato.
        (f)    "Datos Personales": cualquier información relativa a una persona física identificada o identificable, tal y como se define en la Ley de Protección de Datos         Aplicable. 
        (g)    "Encargado del Tratamiento" es la entidad que trata los Datos Personales por cuenta del Responsable del Tratamiento.
        (h)    "Incidente de Seguridad" significa una violación de la seguridad que conduzca a cualquier destrucción accidental o ilegal, pérdida, alteración, divulgación no         autorizada o acceso a los Datos Personales del Cliente que comprometa la privacidad, seguridad o confidencialidad de dichos Datos Personales.
 
2.    Ámbito de aplicación de la DPA
2.1    Esta DPA se aplicará en la medida en que RingCentral procese Datos Personales del Cliente en nombre de un Cliente como Encargado del Tratamiento, tal y como se define en la Ley de Protección de Datos Aplicable. Cualquier tratamiento de Datos Personales como Responsable del Tratamiento por parte de RingCentral queda fuera del ámbito de aplicación de la presente DPA.
 
3.    Funciones y responsabilidades
3.1    Funciones de las partes. Entre las partes y a los efectos de este DPA, el Cliente será el Responsable de los Datos Personales del Cliente tratados por RingCentral en virtud del Contrato como Encargado del Tratamiento en nombre del Cliente. RingCentral cumplirá con las obligaciones de un Responsable del tratamiento en virtud del GDPR en la medida en que trate los Datos Personales como Responsable del Tratamiento para los fines comerciales legítimos de RingCentral, incluidos los necesarios para el funcionamiento de los Servicios  ofrecidos , y los necesarios para cumplir con la legislación aplicable.
 
3.2    Obligaciones del Cliente. El Cliente se compromete a:
        (a)    Garantizar que puede revelar legalmente los Datos Personales del Cliente a RingCentral para los fines establecidos en el Contrato.
        (b)    Cumplir con las Leyes de Protección de Datos Aplicables en su uso de los Servicios, y su propia recopilación y tratamiento de Datos Personales, incluidos los         Datos Personales del Cliente; y
        (c)    Tratar categorías especiales de Datos Personales o datos sensibles (tal y como se definen en las Leyes de Protección de Datos Aplicables), o Datos Personales         relativos a niños o menores, o relacionados con condenas e infracciones penales, de forma lícita y apoyándose en una base legal válida de acuerdo con las Leyes de         Protección de Datos Aplicables. Las Partes reconocen que los Servicios no están diseñados para reconocer y/o clasificar dichos datos.
 
3.3    Limitación de la finalidad
        (a)    Salvo que la legislación aplicable exija lo contrario, RingCentral tratará los Datos personales del Cliente (i) de acuerdo con las instrucciones documentadas del         Cliente (que se recogen en el Contrato, en esta DPA y en la configuración y el uso de los Servicios por parte del Cliente, de acuerdo con las condiciones de uso         aplicables), (ii) con el fin de proporcionar, supervisar, apoyar, mejorar y mantener los Servicios.
        (b)    RingCentral no se dedicará a la venta de Datos Personales.
 
3.4    Confidencialidad del tratamiento. RingCentral se asegurará de que cualquier persona que autorice a tratar los Datos Personales del Cliente esté sujeta a un deber de confidencialidad (ya sea un deber contractual o legal).
 
3.5    Seguridad. RingCentral mantendrá las medidas de seguridad técnicas y organizativas adecuadas para salvaguardar la seguridad de los Datos Personales del Cliente. RingCentral mantendrá un programa de seguridad de la información y de gestión de riesgos basado en las mejores prácticas comerciales para preservar la confidencialidad, integridad y accesibilidad de los Datos Personales del Cliente con medidas administrativas, técnicas y físicas que se ajusten a las normas y prácticas generalmente reconocidas del sector de telecomunicaciones.
 
3.6    Incidentes de Seguridad. Al tener conocimiento de un Incidente de Seguridad, RingCentral notificará al Cliente sin demora indebida a la información de contacto que el Cliente haya proporcionado en el Portal Administrativo y proporcionará la información oportuna que el Cliente pueda requerir razonablemente, incluso para permitir al Cliente cumplir con cualquier obligación de notificación de violación de datos en virtud de las Leyes de Protección de Datos Aplicables.
 
3.7    Suministro de informes de seguridad. RingCentral seleccionará un auditor externo independiente y cualificado para llevar a cabo, a cargo de RingCentral, auditorías como mínimo anuales de la seguridad de los Servicios y entornos, de acuerdo con normas reconocidas internacionalmente como ISO27001, las normas SOC 2, Tipo II o su equivalente. A petición del Cliente y en virtud de un Acuerdo de Confidencialidad, RingCentral proporcionará una copia de los informes de auditoría más recientes (o una certificación de seguridad similar) para documentar el cumplimiento del requisito anterior, cuando dicha certificación esté disponible. Dicho informe de auditoría es Información Confidencial de RingCentral y el Cliente no lo distribuirá a ningún tercero sin la aprobación por escrito de RingCentral.
 
3.8    Eliminación o devolución de datos. Tras la finalización o el vencimiento del Contrato, RingCentral eliminará los Datos Personales del Cliente (incluidas las copias) en posesión de RingCentral o, a petición del Cliente, proporcionará opciones para devolver los Datos Personales al Cliente, salvo en la medida en que RingCentral esté obligado por la legislación aplicable a conservar algunos o todos los Datos Personales del Cliente.
 
4.    Obligaciones del GDPR
4.1    Aplicabilidad. Esta Sección 4 y el Anexo de Seguridad de RingCentral en https://netstorage.ringcentral.com/documents/trust-center-security-addendum.pdf se aplicarán al tratamiento de los Datos Personales del Cliente que están sujetos a la protección del Reglamento General de Protección de Datos de la UE ("GDPR").
 
4.2    Subencargados. El Cliente acepta que RingCentral y sus Afiliados puedan contratar a Afiliados de RingCentral y otros terceros subencargados (colectivamente, "Subencargados") para el tratamiento de los Datos Personales del Cliente en nombre de RingCentral. Dependiendo del alcance y la naturaleza del tratamiento, RingCentral impondrá condiciones de protección de datos a dichos Subencargados que protejan los Datos Personales del Cliente a un nivel equivalente al previsto en este DPA y seguirá siendo responsable de cualquier incumplimiento del DPA causado por un Subencargado. Los Subencargados del tratamiento contratados por RingCentral con respecto a cada uno de los Servicios en el momento del Contrato se indican en la lista de Subencargados de RingCentral disponible en https://netstorage.ringcentral.com/documents/RingCentral_Subprocessor_List.pdf.
 
4.3    Notificación de Subencargados. RingCentral podrá, mediante notificación razonable al Cliente al contacto que éste haya proporcionado en el Portal Administrativo, añadir o reemplazar los Subencargados. Si el Cliente se opone a la designación de un Subencargado adicional en un plazo de treinta (30) días naturales a partir de dicha notificación por motivos razonables relacionados con la protección de los Datos Personales del Cliente, entonces las partes discutirán dichas preocupaciones con vistas a lograr una resolución. Si no se puede alcanzar dicha resolución, entonces RingCentral no designará al Subencargado o, si esto no es posible, el Cliente tendrá derecho a suspender o cancelar el Servicio de RingCentral afectado sin sufrir ninguna penalidad mediante una notificación previa por escrito de treinta (30) días a RingCentral. No obstante lo anterior, en caso de fuerza mayor imprevisible (como un fallo del Subencargado de RingCentral) que pueda provocar una degradación o interrupción del Servicio, RingCentral se reserva el derecho a cambiar inmediatamente el Subencargado que falle para mantener o restablecer las condiciones estándar del Servicio. En esta situación, la notificación del cambio de Subencargado podrá enviarse excepcionalmente después del cambio.
 
4.4    Cooperación y derechos de los interesados. Es responsabilidad del Cliente responder a cualquier solicitud del interesado. Algunos de los Servicios de RingCentral pueden proporcionar medios técnicos directos para permitir al Cliente cumplir con sus obligaciones de responder a las solicitudes de los interesados en virtud de las Leyes de Protección de Datos Aplicables. Si el Cliente no puede atender la solicitud del interesado a través de dichos medios técnicos, o cuando dicha funcionalidad no esté disponible, RingCentral, teniendo en cuenta la naturaleza del tratamiento, proporcionará una asistencia razonable al Cliente, para permitirle responder a dichas solicitudes del interesado. En el caso de que dicha solicitud se realice directamente a RingCentral, RingCentral dirigirá sin demora al interesado para que se ponga en contacto con el Cliente.
 
4.5    Evaluaciones del impacto de la protección de datos. RingCentral deberá, en la medida requerida por el GDPR, y a petición del Cliente y a expensas del Cliente, proporcionar al Cliente asistencia razonable con las evaluaciones de impacto de protección de datos o consultas previas con las autoridades de protección de datos que el Cliente está obligado a llevar a cabo bajo el GDPR en relación con el alcance de los Servicios.
 
4.6    Transferencias internacionales. RingCentral podrá transferir y procesar los Datos Personales del Cliente fuera del Espacio Económico Europeo ("EEE"), Suiza o el Reino Unido, de acuerdo con la lista de Subpencargados publicada, a lugares donde RingCentral, sus Afiliados o sus Subencargados mantienen operaciones de tratamiento de datos. En la medida en que RingCentral trate (o haga tratar) cualquier Dato Personal del Cliente procedente del EEE, Suiza o el Reino Unido en un país que no haya sido reconocido por la Comisión Europea como proveedor de un nivel adecuado de protección de los Datos Personales del Cliente, RingCentral cumplirá con las Leyes de Protección de Datos Aplicables del Espacio Económico Europeo, Suiza y el Reino Unido en relación con la recopilación, el uso transferencia, retención y otro tipo de tratamiento de Datos Personales del Cliente del Espacio Económico Europeo, Suiza y el Reino Unido, y pondrá en marcha las medidas necesarias para garantizar que la transferencia cumpla con las leyes de protección de datos aplicables, que incluyen la ejecución de las cláusulas contractuales estándar de la Comisión Europea, o la puesta en marcha de cualquier otro mecanismo de transferencia válido en virtud de las leyes de protección de datos aplicables. Por la presente, el Cliente otorga un mandato general a RingCentral para que celebre las Cláusulas Contractuales Tipo en nombre del Cliente con sus Subencargados del tratamiento fuera del EEE.
 
4.7    Auditorías
        (a)    Ambas partes reconocen que la intención de las partes es basarse normalmente en el suministro de los informes de seguridad de la sección 3.7 anterior para         verificar el cumplimiento de RingCentral con este DPA.
        (b)    Además, a petición del Cliente, pero no más de una vez durante cada período de 12 meses, RingCentral completará un cuestionario del programa de seguridad         de la información proporcionado por el Cliente, limitado en su alcance a los servicios/entornos reales relacionados con los Servicios prestados al Cliente ("Revisión de         la Seguridad"). 
        (c)    Después de la revisión por parte del Cliente del informe de auditoría de RingCentral o de una certificación similar, y del cuestionario de seguridad de la         información completado (incluyendo cualquier cambio introducido por RingCentral para abordar cualquier laguna), si, en la medida en que lo requiera el GDPR, es         razonablemente necesaria información adicional para demostrar el cumplimiento de las obligaciones de RingCentral de acuerdo con las Leyes de Protección de Datos         Aplicables y este DPA, El Cliente podrá solicitar por escrito la realización de una auditoría (incluidas las inspecciones) de RingCentral de acuerdo con el         procedimiento de solicitud de auditoría que se indica a continuación, no más de una vez cada período de doce (12) meses, a menos que una autoridad de supervisión         exija específicamente que se realice una auditoría de RingCentral o en respuesta a un Incidente de Seguridad.  
        (d)    Para ejercer su derecho a la auditoría de acuerdo con esta sección, el Cliente debe proporcionar a RingCentral una solicitud escrita y detallada, que incluya la         explicación de las lagunas en los informes de auditoría proporcionados por RingCentral y en la Revisión de la Seguridad que hacen necesaria la auditoría para         demostrar el cumplimiento de RingCentral con este DPA o con las Leyes de Protección de Datos Aplicables.
        (e)    La auditoría podrá ser realizada por el Cliente o por un auditor externo (cualquier tercero bajo estrictas obligaciones de confidencialidad, incluidos los requisitos         de que los auditores individuales designados no hayan realizado auditorías de ninguno de los competidores de RingCentral en los doce (12) meses anteriores y que se         les prohíba realizar dichas auditorías en los doce (12) meses siguientes a la auditoría de RingCentral) únicamente a expensas del Cliente. RingCentral puede objetar         por escrito a cualquier auditor de terceros si el auditor, en opinión razonable de RingCentral, no es adecuadamente calificado o independiente, es un competidor de         RingCentral, o de otra manera es manifiestamente inadecuado. Cualquier objeción de este tipo por parte de RingCentral obligará al Cliente a designar a otro auditor o         a realizar la auditoría él mismo.
        (f)    RingCentral y el Cliente acordarán de antemano el alcance y el calendario de la auditoría, para proteger la información confidencial y propietaria de RingCentral y         de otras partes, para minimizar la interrupción del negocio de RingCentral, para limitar el alcance a los servicios/entornos reales relacionados con los Servicios         prestados al Cliente, y para acordar una duración razonable de la auditoría.
        (g)    La realización de la auditoría se llevará a cabo durante el horario laboral habitual del personal de RingCentral implicado y las partes acuerdan que RingCentral         pondrá a disposición el material para que el Cliente lo revise, pero no para que lo conserve. RingCentral podrá cobrar honorarios razonables por los costes incurridos         en relación con cualquier auditoría basada en las tarifas de servicios profesionales de RingCentral, a menos que la auditoría muestre un incumplimiento material por         parte de RingCentral. RingCentral proporcionará al Cliente los detalles de cualquier tarifa aplicable, y la base de su cálculo, antes de cualquier auditoría.
        (h)    Toda la información proporcionada o puesta a disposición del Cliente en virtud de esta sección se considerará información confidencial de RingCentral.
 
4.8    Solicitudes de divulgación de datos. Si RingCentral recibe una solicitud de una autoridad policial o gubernamental para revelar Datos Personales del Cliente que RingCentral está tratando en nombre del Cliente, RingCentral notificará y proporcionará al Cliente los detalles de la solicitud de divulgación de datos antes de revelar cualquier Dato Personal del Cliente, a menos que esté legalmente prohibido o cuando exista un riesgo inminente de daño grave que prohíba la notificación previa.
 
5.    Varios
5.1    A menos que se indique explícitamente lo contrario, los términos y condiciones del Contrato se aplicarán al DPA. En caso de conflicto entre los términos del Contrato y los del presente DPA, prevalecerán los términos del presente DPA en lo que respecta a las actividades de RingCentral  para el tratamiento de los Datos Personales del Cliente.
 
5.2    La ley aplicable y el foro que se aplican al Contrato también se aplican a este DPA.
 
5.3    Información de contacto para consultas sobre privacidad: privacy@RingCentral.com.