Este Apéndice de Protección de Datos (“DPA”) forma parte integrante del Contrato de Licencia de HERE Mobility incluidos los Términos y Condiciones Generales de HERE Mobility (y sus documentos anexos), los Términos de Servicio del Asociado – Productos de HERE Mobility (y sus documentos anexos) o cualquier otro contrato escrito (“Contrato”) celebrado entre HERE y el Asociado que acepta dicho Contrato (ya sea como un Asociado existente que ya firmó el Contrato o como un nuevo Asociado que acepta el Contrato ahora) ("Asociado"), con respecto al acceso y/o uso por el Asociado de los Productos de Movilidad (como se define en el Contrato).

Usted declara y garantiza que tiene plena autoridad para vincular al Asociado a los términos y condiciones de este DPA. Si usted o el Asociado no pueden estar vinculados, no están de acuerdo o no pueden cumplir con este DPA, o si no tiene la autoridad para vincular al Asociado a este DPA, no comparta, proporcione ni intente recibir Datos Personales de HERE. Usted también declara y garantiza que, en su propio nombre como individuo y en nombre del Asociado (ya sea su empleador u otra entidad legal que contrate sus servicios), ha leído, comprendido y acepta cumplir con este DPA en su totalidad y que está celebrando un acuerdo legal vinculante con HERE Global B.V. ("HERE" o "nosotros") para reflejar el acuerdo de las Partes con respecto al Procesamiento de Datos Personales.

Cada referencia al DPA en este DPA significa este DPA y sus Anexos (si corresponde). Excepto como se establece explícitamente en este DPA, todos los términos en mayúsculas tendrán el significado que se les atribuye en el Contrato, incluidos, entre otros: Leyes de Protección de Datos; GDPR; Cuenta; Afiliada; Datos del Consumidor; Datos del Conductor; Aplicación del Conductor; Productos de Movilidad; Verticales de oferta de Mobility Marketplace; Conjuntos de Servicios de Mobility Marketplace; Marketplace Dispatcher; Datos de Cuenta del Asociado; Datos del Personal del Asociado; Datos del Consumidor controlados por el Asociado; y Personal del Asociado. 

Si necesita una copia firmada de este DPA, usted debe enviar una copia firmada a mobility.privacy@here.com y le proporcionaremos una copia firmada.

1. Términos de Procesamiento de Datos

En el curso del uso de los Productos de Movilidad, HERE y el Asociado (individualmente, cada “Parte”, y colectivamente, las “Partes”) Procesan Datos Personales. Este DPA establece los acuerdos y obligaciones de las Partes, que incluyen, entre otros, el uso de medios, medidas, procedimientos y esfuerzos de buena fe con respecto al Procesamiento de Datos Personales en relación con los Productos de Movilidad de acuerdo con los requisitos de las Leyes de Protección de Datos.

2. Definiciones.

2.1 Controlador, Procesador (y Proceso/Procesamiento), Propietario de Datos tendrán el significado que se les atribuye en virtud de la Ley de Protección de Datos.

2.2 “Cláusulas Contractuales Estándar de Controlador a Controlador” significará las Cláusulas Contractuales Estándar (Transferencias de Controlador a Controlador - Conjunto II) en el Anexo a la Decisión de la Comisión Europea de fecha 27 de diciembre de 2004, con sus enmiendas y reemplazos ocasionales aportados por la Comisión Europea.

2.3 “Cláusulas Contractuales Estándar de Controlador a Procesador” significará las Cláusulas Contractuales Estándar (Procesadores) en el Anexo a la Decisión de la Comisión Europea de fecha 5 de febrero de 2010, con sus enmiendas y reemplazos ocasionales aportados por la Comisión Europea.

2.4 “Datos Personales” se refiere a la información relacionada con un Propietario de Datos identificado o identificable, también denominados “datos personales” según las Leyes de Protección de Datos aplicables, que se proporcionan, consumen, acceden, se ponen a disposición para el acceso o se procesan de otro modo en el curso del acceso y uso de los Productos de Movilidad o ejecución del Contrato.

2.5 "Incidente de seguridad" significa cualquier acceso, adquisición o divulgación no autorizados, ya sean reales o razonablemente sospechosos, de los Datos Personales que una Parte procesa en nombre de la otra Parte.

3. Relación de las Partes.

Las Partes reconocen y acuerdan que, entre el Asociado y HERE, con respecto al Procesamiento de Datos Personales relacionados con el acceso y uso por el Asociado de cualquier Producto de Movilidad:

3.1 Datos del Personal del Asociado:

El Asociado es el Controlador y HERE es el Procesador con respecto a los Datos del Personal del Asociado.

3.2 Datos de Cuenta del Asociado:

El Asociado es el Controlador y HERE es un Controlador independiente con respecto a los Datos de Cuenta del Asociado. 

3.3 Datos del Conductor:

3.3.1 HERE y el Asociado son Controladores independientes con respecto a los Datos del Conductor que son procesados por cualquiera de ellos en relación con el acceso y/o uso de la Aplicación del Conductor por parte de los Conductores; y

3.3.2 HERE es el Procesador y el Asociado es el Controlador con respecto a los Datos del Conductor que proporciona el Asociado a HERE a través de la Mobility Supply API.

3.4 Datos del Consumidor:

3.4.1 HERE y el Asociado son Controladores independientes con respecto a los Datos del Consumidor que son procesados por cualquiera de ellos, respectivamente, en relación con el consumo y/o uso por parte de los Consumidores de cualquier Servicio de Movilidad ofrecido o proporcionado a los Consumidores por el Asociado a través de los Productos de Movilidad.

3.4.2 HERE es el Procesador y el Asociado es el Controlador con respecto a los Datos del Consumidor proporcionados por el Asociado a HERE a través del Mobility for Concierge;

3.4.3 HERE es el Procesador y el Asociado es el Controlador con respecto a los Datos del Consumidor controlados por el Asociado que el Asociado proporcione a HERE a través del Marketplace Dispatcher específicamente con respecto a la provisión de los Servicios de Movilidad por el Asociado; y

3.4.4 HERE y el Asociado son Controladores independientes, HERE es el Procesador y el Asociado es el Controlador, o HERE es el Controlador y el Asociado es el Procesador (según corresponda) con respecto a los Datos del Consumidor proporcionados por el Asociado (directamente o por el Consumidor) a HERE a través de la Mobility Demand API y/o del Mobility SDK. La determinación de HERE como Controlador o Procesador se basará en la implementación de la Mobility Demand API y/o el Mobility SDK por cada Asociado específico.

(A) con respecto a la Sección 3.4.1, el Asociado y HERE serán responsables de establecer una base legal incluyendo (y, cuando sea necesario, obteniendo) todos los consentimientos y aprobaciones y emitiendo todos los avisos (según corresponda) requeridos para que el Asociado y HERE (respectivamente) procesen Datos Personales de los Propietarios de Datos aplicables en la capacidad de Controlador; y

(B) con respecto a las Secciones 3.4.2-3.4.4, el Asociado, en la capacidad de Controlador, será responsable de establecer una base legal incluyendo (y, cuando sea necesario, obteniendo) todos los consentimientos y aprobaciones y emitiendo todos los avisos (según corresponda) requeridos para que el Asociado y HERE (respectivamente) procesen Datos Personales de los Propietarios de Datos aplicables, lo que incluye, entre otros, hacer la divulgación requerida en sus términos de uso y política de privacidad online y obtener el consentimiento expreso de los propietarios de datos.

3.4.5 HERE es el Controlador o Procesador y el Asociado es el Procesador o Subprocesador con respecto a los Datos del Consumidor que procesa el Asociado a través de las Verticales de oferta de Mobility Marketplace y/o del Marketplace Dispatcher. La determinación de HERE como Controlador o Procesador se basará en el Conjunto de Servicios de Mobility Marketplace del cual se originaron los Datos del Consumidor. No obstante lo anterior, el Asociado puede ser un Controlador de dichos Datos del Consumidor si establece una base legal directamente con el (los) Consumidor (es) de acuerdo con las Leyes de Protección de Datos aplicables.

Las Partes también reconocen y acuerdan que las Partes no son controladores conjuntos con respecto a los Datos Personales Procesados bajo los términos de este documento, según se define este término en el GDPR.

4. Procesamiento de Datos Personales.

Este DPA se aplica cuando los Datos Personales son Procesados por HERE y/o por un Asociado. En la medida en que las Leyes y Regulaciones de Privacidad de la UE se apliquen a los Datos Personales, se aplicará lo siguiente:

4.1 Procesamiento por un Controlador. 

      4.1.1 Con respecto a los Datos Personales que una Parte (incluida cualquier persona en su nombre) proporcione, transmita, cargue o ponga a disposición para el acceso por la otra Parte a través de o en conexión con el uso de los Productos de Movilidad, dicha Parte declara y garantiza que: (i) procesará y garantizará que cualquier persona que actúe en su nombre procese los Datos Personales solo de conformidad con las Leyes de Protección de Datos aplicables y este DPA; (ii) garantizará, cuando proporcione Datos Personales a la otra Parte, la exactitud, la calidad y la legalidad de los Datos Personales que proporciona y/o carga a los Productos de Movilidad; (iii) los medios y procesos por los cuales (incluso a través de cualquier persona en su nombre) adquirió dichos Datos Personales, y la provisión de dichos Datos Personales a la otra Parte a través de los Productos de Movilidad para Procesamiento de conformidad con el Contrato, cumplen con todas las Leyes de Protección de Datos aplicables. Cada Parte que actúa como Controlador confirma, y a solicitud de la otra Parte demostrará, que los Datos Personales de los Propietarios de Datos proporcionados y/o cargados en los Productos de Movilidad se obtuvieron solo de los Propietarios de Datos que recibieron las declaraciones y notificaciones apropiadas, según lo exigen las Leyes de Protección de Datos aplicables, incluso para el uso, la distribución y la transferencia transfronteriza de los Datos Personales de dichos Propietarios de Datos, tal como se requiere para el propósito del Contrato, y/o de otro modo de acuerdo con este DPA, y que dicha Parte ha establecido una base legal directamente con los Propietarios de Datos según lo exigen las Leyes de Protección de Datos aplicables. Si un tercero proporcionó los avisos a los Propietarios de Datos y recibió su consentimiento o estableció otra base legal con los Propietarios de Datos, cada Parte que actúe como Controlador será la única responsable de verificar (y deberá demostrar) que los avisos y consentimientos fueron suficientes para los fines de uso establecidos en el Contrato y adecuados de conformidad con las Leyes de Protección de Datos aplicables o que otra base legal ha sido establecida de conformidad con las Leyes de Protección de Datos aplicables.

     4.1.2 Con respecto a los Datos Personales que una Parte que actúa como Procesador (incluida cualquier persona en su nombre) recibe, se le otorga acceso o se le pone a disposición en relación con el uso de los Productos de Movilidad, dicha Parte se compromete a: (i) tratar los Datos Personales como Información Confidencial de acuerdo con los términos de este DPA y el Contrato; (ii) acceder y utilizar los Datos Personales de los Propietarios de Datos solo de acuerdo con los términos y condiciones de, y para los fines establecidos en, el Contrato.

4.2 Procesamiento como Procesador. Con respecto a los Datos Personales que una Parte (incluida cualquier persona en su nombre) proporciona, transmite, carga o pone a disposición de la otra Parte para el Procesamiento en su nombre en relación con los Productos de Movilidad, dicha Parte instruye a la otra Parte para que procese dichos Datos Personales de acuerdo con los términos de este DPA y del Contrato. Con respecto a los Datos Personales que dicha Parte proporcione, transmita o permita el acceso a la otra Parte, dicha Parte garantizará que dichos Datos Personales se recopilen y se proporcionen a la otra Parte de conformidad con las Leyes de Protección de Datos aplicables, siguiendo la disposición de los avisos requeridos. y el establecimiento de una base legal válida de acuerdo con las Leyes de Protección de Datos aplicables, para que la otra Parte procese dichos Datos Personales conforme a este DPA. El asunto, la naturaleza y el propósito del Procesamiento, el tipo de Datos Personales y las categorías de Propietarios de Datos se establecen en el Anexo aplicable de los Productos de Movilidad a los que el Asociado accede y utiliza.

4.3 Bases legales para el Procesamiento. Donde y según corresponda, la base legal para que HERE y el Asociado procesen los Datos Personales será la ejecución de un contrato con el propietario de datos, por intereses legítimos, el cumplimiento de una obligación legal y/o de conformidad con el consentimiento del propietario de datos.

4.4 Detalles del Procesamiento. Cada Parte se compromete a, y garantiza que cualquier tercero que actúe en su nombre deberá: (i) procesar los Datos Personales de manera legal, justa y transparente; (ii) recopilar los Datos Personales para fines específicos, explícitos y legítimos y no procesarlos de manera incompatible con dichos fines; (iii) limitar el procesamiento de los Datos Personales a lo estrictamente necesario en relación con los fines para los que se procesan; (iv) garantizar que, a su leal saber y entender, los Datos Personales que recopila sean precisos y, cuando sea necesario, estén actualizados, y que los datos inexactos se rectifiquen o eliminen sin demora; (v) mantener todos los Datos Personales procesados en forma identificable por no más de lo necesario según los fines para los que se procesan; y (vi) proteger todos los Datos Personales que procesa, incluso contra el procesamiento no autorizado o ilegal, pérdida accidental, destrucción o daño, utilizando medidas técnicas u organizativas apropiadas.

5. Derechos y Cooperación de los Propietarios de Datos.

5.1 Cada Parte ha establecido y mantiene un procedimiento para el ejercicio de los derechos personales del Propietario de Datos, según lo exigen las Leyes de Protección de Datos aplicables.

5.2 Cada Parte cooperará con la otra Parte y hará un esfuerzo comercialmente razonable para brindar asistencia a la otra Parte en relación con: (i) cualquier notificación requerida a los Propietarios de Datos y a las autoridades de supervisión, según corresponda, teniendo en cuenta la naturaleza del Procesamiento y la información disponible para una Parte; (ii) evaluaciones de impacto y consultas previas realizadas por una Parte (a expensas de la Parte solicitante), según lo requieran las Leyes de Protección de Datos aplicables; (iii) la demostración de una Parte de su cumplimiento con las Leyes de Protección de Datos aplicables; (iv) el manejo por una Parte de las solicitudes para ejercer los derechos de los Propietarios de Datos, de acuerdo con los términos de la Sección 5.3; y (v) el manejo por una Parte de quejas de terceros o de Propietarios de Datos y de consultas gubernamentales en relación con los Datos Personales Procesados en relación con el uso de los Productos de Movilidad por parte del Asociado de conformidad con el Contrato.

5.3 A menos que esté prohibido por las Leyes de Protección de Datos aplicables, cada Parte notificará sin demora a la otra Parte de: (i) cualquier violación por la Parte, o cualquier persona en nombre de dicha Parte, de cualquier disposición de este DPA o de una instrucción de la Parte de conformidad con lo dispuesto; (ii) cualquier procedimiento oficial de supervisión competente en relación con los Datos Personales Procesados en conexión con el uso de los Productos de Movilidad por parte del Asociado de conformidad con el Contrato; (iii) cualquier circunstancia  jurídica o fáctica que impida a una Parte de ejecutar cualquiera de las obligaciones de dicha Parte según los términos de este DPA; y (iv) cualquier cambio material que afecte las medidas de seguridad técnicas y organizativas implementadas por una Parte que haga que dichas medidas no cumplan con las obligaciones de seguridad de la información de dicha Parte según lo establecido en este DPA.

5.4 En la medida legalmente permitida, cada Parte que actúe como Procesador o Controlador en virtud del presente notificará sin demora a la otra Parte si recibe una solicitud de un Propietario de Datos cuyos Datos Personales se incluyen en los datos recopilados en relación con el uso de los Productos de Movilidad por el Asociado bajo el Contrato, para ejercer el derecho a acceder, corregir, modificar o eliminar los Datos Personales de ese Propietario de Datos, o a ejercer otro derecho personal a que el Propietario de Datos tenga derecho de conformidad con las Leyes de Protección de Datos aplicables. Dicha Parte proporcionará a la otra Parte cooperación y asistencia comercialmente razonables en relación con el manejo de solicitudes de Propietarios de Datos, en la medida en que esté legalmente permitido. Cualquier Propietario de Datos que desee ejercer sus derechos con relación a HERE en su calidad de Controlador en conexión con los Productos de Movilidad puede enviar una solicitud poniéndose en contacto con HERE por correo electrónico: mobility.privacy@here.com. Cualquier Propietario de Datos que desee ejercer sus derechos con relación al Asociado en su calidad de Controlador en conexión con los Productos de Movilidad puede enviar una solicitud poniéndose en contacto con el Asociado por la dirección de correo electrónico proporcionada por el Asociado a HERE de conformidad con el Contrato. Cada Parte se compromete a hacer todos los esfuerzos razonables para satisfacer estas solicitudes.

5.5 En la medida en que el Asociado, en su acceso y/o uso de los Productos de Movilidad como un Controlador de Datos, no tenga la capacidad de corregir, modificar, bloquear o eliminar los Datos Personales según lo exijan las Leyes de Protección de Datos aplicables, HERE cumplirá con cualquier solicitud comercialmente razonable del Asociado para facilitar tales acciones en la medida en que HERE tenga la autorización legal y la capacidad técnica de hacerlo, con los gastos quedando a cargo del Asociado. Ninguna de las Partes que actúe como Procesador bajo este instrumento deberá responder a cualquier solicitud de este tipo sin el consentimiento previo por escrito de la otra Parte, excepto para confirmar que la solicitud se relaciona con dicho Procesador, a menos que sea requerido por las Leyes de Protección de Datos aplicables.

6. Personal y subcontratistas de las Partes.

6.1 Cada Parte garantiza que el personal, los subcontratistas y los proveedores de servicios (sus y de sus Afiliadas) que participan en el Procesamiento de Datos Personales: (i) están informados de la naturaleza confidencial de los Datos Personales; (ii) reciben capacitación adecuada de seguridad y privacidad (o sesiones de actualización) sobre sus responsabilidades y están sujetos a obligaciones de confidencialidad y tales obligaciones seguirán siendo válidas incluso después de la terminación del compromiso de esas personas con dicha parte; y (iii) el acceso a los Datos Personales se limita a aquellos que requieren dicho acceso para ejecutar sus obligaciones bajo el Contrato. Todas las Afiliadas, subcontratistas y proveedores de servicios relevantes a quienes una Parte transfiera Datos Personales en el curso del cumplimiento del Contrato han celebrado acuerdos por escrito con dicha Parte u otros instrumentos legales que los obligan a cumplir sustancialmente las mismas obligaciones materiales en virtud de este DPA.

6.2 Cada Parte deberá: (i) ser responsable de la suficiencia de las medidas de protección de seguridad, privacidad y confidencialidad del personal, subcontratistas y proveedores de servicios (sus y de sus Afiliadas) con respecto a los Datos Personales; y (ii) ser responsable de cualquier incumplimiento por parte del personal, subcontratistas y proveedores de servicios (sus y de sus Afiliadas) con respecto a los términos de este DPA. Cada Parte asume toda la responsabilidad por los actos y omisiones del personal, subcontratistas y proveedores de servicios (sus y de sus Afiliadas) en relación con el Procesamiento de Datos Personales.

7. Controladores, Procesadores y Subprocesadores.  

7.1 Para proporcionar al Propietario de Datos ciertos servicios como parte de los Productos de Movilidad, se le autorizará a HERE, como Procesador, contratar ciertos proveedores de servicios terceros que actuarán en la capacidad de Controlador (incluso con respecto a los Datos para los cuales HERE actúa como un Procesador) en la medida necesaria para llevar a cabo las funciones de los Productos de Movilidad en el curso del compromiso del Asociado con HERE (cada uno, un "Controlador Externo"). En cada uno de estos casos, HERE firmará un contrato por escrito con cada Controlador Externo que impone a cada Controlador Externo al menos obligaciones equivalentes a las que se imponen a HERE bajo este Contrato y de tal manera que el Procesamiento de Datos Personales cumpla con los requisitos de las Leyes de Protección de Datos aplicables. El Asociado acepta notificar a los Propietarios de Datos aplicables acerca de dichos Controladores Externos en sus términos de uso y la política de privacidad online, y será responsable de establecer una base legal incluyendo (y, cuando sea necesario, obteniendo) todos los consentimientos y aprobaciones y emitiendo todos los avisos (según corresponda) requeridos por las Leyes de Protección de Datos aplicables en relación con el intercambio de Datos Personales de los Propietarios de Datos aplicables con dichos Controladores Externos. HERE utiliza Twilio Inc. como Controlador Externo, una empresa que proporciona a HERE los servicios de conectividad de telecomunicaciones, lo que permite que HERE, entre otras funcionalidades, envíe y reciba mensajes de texto programáticamente como parte de los Productos de Movilidad.

7.2 Una Parte que actúe como Procesador estará autorizada a subcontratar el Procesamiento de Datos Personales a procesadores y subprocesadores, según corresponda y según sea razonablemente necesario para el cumplimiento de sus obligaciones en virtud del Contrato. En tal caso, el Procesador celebrará un contrato por escrito con su subprocesador que imponga al subprocesador al menos obligaciones equivalentes a las que se establecen para el Procesador en este Contrato; dicho contrato debe incluir una descripción de las medidas técnicas y organizativas que el subprocesador debe implementar de manera tal que el Procesamiento cumpla con los requisitos de las Leyes de Protección de Datos aplicables. Si el Controlador lo solicita, el Procesador informará al Controlador el nombre, la dirección y la función de cada uno de los subprocesadores involucrados. Sin perjuicio de lo anterior, el uso de procesadores por HERE (en los casos en que HERE sea el "Controlador" de los Datos Personales), incluido el uso de cualquier proveedor de servicios de procesamiento de pagos, queda a la entera discreción de HERE.

7.3 Una Parte que actúe como Procesador notificará al Controlador por adelantado (por correo electrónico o publicando en la Cuenta) sobre cualquier cambio en la lista de subprocesadores en vigencia en la Fecha Efectiva (excepto sustituciones de emergencia o eliminaciones de subprocesadores sin sustitución). Si el Controlador tiene una razón legítima asociada al Procesamiento de Datos Personales por el subprocesador, el Controlador puede objetar el uso de dicho subprocesador por el Procesador mediante notificación por escrito dentro de 10 (diez) días después de recibida la notificación del Procesador y, en tal caso, las Partes discutirán una resolución de buena fe. El Procesador puede optar por: (i) abstenerse de usar el subprocesador, o (ii) tomar las medidas correctivas solicitadas por el Controlador como se especifique en su objeción y utilizar el subprocesador. Si ninguna de estas opciones es razonablemente posible y el Controlador continúa objetando por un motivo legítimo, cualquiera de las Partes podrá rescindir el Contrato con un previo aviso por escrito de 30 (treinta) días. Si el Controlador no se opone dentro de los 10 (diez) días posteriores a la recepción de la notificación, se considera que el Controlador aceptó al nuevo subprocesador. Donde se requiera legalmente, el Procesador deberá firmar la versión sin cambios de las Cláusulas Contractuales Estándar para la transferencia de datos personales a procesadores establecidos en terceros países de conformidad con la Decisión 2010/87/UE de la Comisión Europea ("Cláusulas Contractuales Estándar") antes del Procesamiento de los Datos por parte del subprocesador. Por el presente, el Asociado acepta las Cláusulas Contractuales Estándar entre HERE y su subprocesador.

8. Responsabilidad; Documentación.

8.1 Cada Parte se compromete a documentar adecuadamente sus prácticas y actividades de privacidad en relación con el Procesamiento de Datos Personales, de conformidad con los requisitos aplicables de las Leyes de Protección de Datos.

8.2 Una Parte que actúe como Procesador Procesará los Datos Personales solo de acuerdo con las instrucciones escritas del Controlador, según lo establecido en este DPA. Dicho Procesador deberá informar al Controlador, por escrito, si tiene conocimiento o si considera razonablemente que las instrucciones de Procesamiento de datos infringen la Ley de Protección de Datos aplicable.

8.3 La responsabilidad de cada Parte y sus Afiliadas que surja de o esté relacionada con este DPA (ya sea en forma contractual o extracontractual o bajo cualquier otra teoría de responsabilidad) está sujeta a la Sección 10 ("Limitación de responsabilidad") del Contrato, y cualquier referencia en tal sección a la responsabilidad de una Parte significa la Parte y sus Afiliadas en conjunto.

9. Eliminación o devolución de Datos Personales.  

9.1 Al procesar los Datos Personales como Procesador, dicha Parte deberá, a elección de la otra Parte, eliminar o devolver todos los Datos Personales a la otra Parte al finalizar o al vencimiento del Contrato, y eliminar todas las copias existentes de los Datos Personales en su posesión o control, a menos que: (i) las leyes aplicables exijan la retención de dichos Datos Personales por un cierto período por parte del Procesador y/o sus subprocesadores, o (ii) dicha retención sea legalmente permitida. Si dicha retención es legalmente permitida y/o requerida, el Procesador y/o sus subprocesadores pueden retener dichos Datos Personales para tales fines, siempre que dichos Datos Personales reciban una protección continua bajo los términos establecidos en este DPA, independientemente de la expiración o terminación del Contrato, hasta que dichos Datos Personales se eliminen permanentemente. 

9.2 Cuando se permite o exige legalmente que una Parte retenga Datos Personales de acuerdo con la ley aplicable, dicha Parte solo retendrá dichos Datos Personales de acuerdo con los procedimientos y plazos especificados en sus políticas y procedimientos de retención y destrucción de datos y con la ley aplicable.

10. Datos Anonimizados y Agregados

El Asociado reconoce y acepta que HERE puede proporcionar Datos Personales anónimos para que ya no se relacionen con una persona física identificada o identificable o que un Propietario de Datos ya no sea identificable ("Datos Anonimizados"), y puede mantener, usar y distribuir dichos Datos Anonimizados para sus propios fines; y el Asociado acepta, en la medida requerida por este DPA y/o la Ley de Protección de Datos aplicable, incluir el lenguaje y los términos relevantes en su política de privacidad e informar a los Propietarios de Datos aplicables, y en la medida en que sea legalmente requerido, obtener un consentimiento legal y válido o establecer otra base legal con respecto a dicho uso por parte de HERE de acuerdo con las Leyes de Protección de Datos aplicables.

11. Derechos de auditoría.  

11.1 Cada Parte puede auditar las prácticas de privacidad y seguridad de la otra Parte para determinar y asegurar el cumplimiento bajo este DPA si: (i) ha ocurrido un Incidente de Seguridad; (ii) la Parte auditora sospecha razonablemente que la otra Parte no cumple con sus obligaciones bajo este DPA; (iii) una autoridad de protección de datos competente le solicita formalmente una auditoría; o (iv) las Leyes de Protección de Datos aplicables otorgan a la Parte auditora un derecho de auditoría directa. Dicha auditoría solo se puede realizar a través de un auditor externo acreditado (que no tenga un conflicto de intereses y esté sujeto a estrictas obligaciones de confidencialidad), con al menos 30 (treinta) días de previo aviso por escrito. La Parte auditada apoyará razonablemente a la Parte auditora en su proceso de auditoría. Las auditorías se limitarán a una vez al año y a un máximo de un día hábil, durante el horario laboral normal y sin interrumpir el curso de negocios regular de la Parte auditada, y la Parte auditora asumirá sus propios costos de auditoría. Toda la información proporcionada por la Parte auditada u obtenida por la Parte auditora como parte de una auditoría se considerará como Información Confidencial de la Parte auditada.

11.2 Si se aplican las Cláusulas Contractuales Estándar, nada en esta Sección 11 varía o modifica las Cláusulas Contractuales Estándar, ni afecta los derechos de las autoridades supervisoras o de los Propietarios de Datos bajo las Cláusulas Contractuales Estándar.

12. Medidas técnicas y organizativas.

12.1 Durante la vigencia del Contrato, cada Parte implementará y mantendrá medidas organizativas administrativas, físicas y técnicas (incluso con respecto a su personal, instalaciones, hardware y software, almacenamiento y redes, controles de acceso, monitoreo y registro, y respuesta a incidentes) para proteger la seguridad, la confidencialidad y la integridad de los Datos Personales, de conformidad con las políticas y procedimientos de seguridad de la información de la Parte y según lo exijan las Leyes de Protección de Datos aplicables. Cada Parte deberá supervisar regularmente el cumplimiento de estas medidas, para asegurar un nivel de protección que sea razonable y suficiente para los riesgos relacionados con el Procesamiento y teniendo en cuenta la naturaleza de los Datos Personales involucrados. El Asociado deberá proporcionar a HERE una copia de sus medidas técnicas y organizativas simultáneamente a la ejecución de este Contrato, a menos que las medidas técnicas y organizativas del Asociado sean sustancialmente similares a las establecidas en la Sección 12.2 a continuación. En tal caso, el Asociado declara y garantiza a HERE que: (i) sus medidas técnicas y organizativas implementadas cumplen con las Leyes de Protección de Datos aplicables y son al menos tan seguras como las establecidas en la Sección 12.2 a continuación; y (ii) notificará HERE por escrito sin demora si hay algún cambio en sus medidas técnicas y organizativas implementadas, proporcionando a HERE una copia de sus medidas técnicas y organizativas actualizadas.

12.2 A continuación se definen las medidas de seguridad actuales de HERE. HERE le garantiza al Asociado que: (i) asegura que su alta gerencia asigne responsabilidades de seguridad y revise la implementación de la seguridad dentro de la organización. La alta gerencia ha designado personal adecuado responsable de la seguridad general, la gestión de riesgos, la seguridad de la información, la privacidad y los controles para el manejo de los Datos Personales; (ii) ha establecido y demuestra compromiso con la seguridad a través de una política de seguridad en toda la organización ("Política de Seguridad"). La Política de Seguridad y las directrices relacionadas se comunican a todos los empleados, subcontratistas y proveedores de servicios de HERE; (iii) tiene su propio esquema de clasificación de información dedicado basado en la sensibilidad de la información (por ejemplo, interna, confidencial y secreta) y tiene medidas establecidas para garantizar que la propiedad de la información se defina en todo momento. Este esquema incluye controles de seguridad adecuados para proteger los Datos Personales, los activos y la información del Asociado, cuando corresponda; (iv) lleva a cabo evaluaciones de riesgos de seguridad como parte de sus operaciones comerciales normales al menos anualmente, incorporando amenazas emergentes, posibles impactos comerciales y probabilidades de ocurrencia; y modifica los procesos, procedimientos y directrices relacionados con la seguridad en función de los hallazgos de dichas evaluaciones de riesgos de seguridad; (v) ha implementado un control de acceso adecuado y una gestión de derechos de acceso diseñada para garantizar que los datos solo sean procesados por un número mínimo de personas autorizadas que requieran el acceso a los datos para realizar sus tareas relacionadas con el trabajo (es decir, control de acceso basado en roles con privilegios mínimos); (vi) mantiene: procesos para autorizar y terminar el acceso de usuarios y el acceso de subcontratistas, incluido el procedimiento de terminación de acceso de emergencia; una política de gestión de contraseñas que incluye requisitos de complejidad de contraseñas, sin cuentas de usuario comunes o compartidas, con caducidad de las contraseñas si los sistemas no admiten el uso de administradores de contraseñas y entrega segura de las credenciales a los usuarios; los registros de auditoría de todos los privilegios de usuario existentes, que se conservarán y revisarán periódicamente para eliminar los privilegios en exceso, y procesos que aseguran la separación de funciones; (vii) mantiene un registro de auditoría suficiente y el uso de privilegios de acceso (cambios, quién, qué, cuándo) se utiliza cuando se trata de información sensible (confidencial o secreta); (viii) recopila los registros relacionados con el acceso de los usuarios a los Datos Procesados por el Asociado y almacena dichos registros durante al menos 3 (tres) meses, a menos que la legislación local lo restrinja; (ix) ha implementado medidas de seguridad de la información razonables y apropiadas (por ejemplo, fortalecimiento/refuerzo de sistemas, parcheo, antivirus, IDS, etc.) para proteger los Datos Personales contra el acceso, uso, divulgación, eliminación, destrucción, pérdida, alteración o enmienda no autorizados o accidentales; (x) solo almacena y procesa Datos Personales en un entorno donde se han implementado los controles de seguridad necesarios, y garantiza que las redes y la infraestructura de TI están diseñadas y administradas para proteger los sistemas de TI, la información, los usuarios y las comunicaciones electrónicas; y (xi) utiliza técnicas estándar de la industria para asegurar la conectividad entre el Asociado y HERE contra interceptaciones y alteraciones (incluido el acceso inalámbrico o la conexión remota), en las soluciones y los servicios.

12.3 HERE puede cambiar las medidas de seguridad implementadas en cualquier momento sin previo aviso, siempre y cuando mantenga un nivel de seguridad comparable o mejor.

13. Gestión y notificación de incumplimientos.

13.1 Cada parte deberá: (i) mantener políticas y procedimientos de gestión de incidentes de seguridad según lo requerido por la ley aplicable; y (ii) cuando una Parte tenga conocimiento de un Incidente de Seguridad, notificará por escrito a la otra Parte de inmediato. Dicha notificación se proporcionará antes de notificar a cualquier autoridad gubernamental o hacer cualquier divulgación pública, a menos que esté prohibido por la ley aplicable. Si una Parte tiene conocimiento de cualquier Incidente de Seguridad, rápidamente: (a) investigará el Incidente de Seguridad y proporcionará a la otra Parte información sobre el Incidente de Seguridad; y (c) adoptará medidas razonables diseñadas para mitigar los efectos y minimizar cualquier daño resultante del Incidente de Seguridad. Cada Parte acepta que un intento infructuoso de Incidente de Seguridad no estará sujeto a esta sección. Un intento infructuoso de Incidente de Seguridad es aquel que no resulta en un acceso no autorizado, o pérdida, divulgación o alteración de Datos Personales o a cualquiera de los equipos o instalaciones de una Parte que almacenan Datos Personales, y puede incluir, entre otros, pings y otros ataques de difusión a firewalls o servidores de periferia, exploraciones de puertos, intentos de inicio de sesión fallidos, ataques de denegación de servicio, detección de paquetes (u otro acceso no autorizado a datos de tráfico que no dé como resultado el acceso más allá de direcciones IP o encabezados) o incidentes similares; y la obligación de cada Parte de informar o responder a un Incidente de Seguridad según esta Sección 13 no se interpreta ni se interpretará como un reconocimiento de ninguna culpa u obligación por una Parte con respecto al Incidente de Seguridad. Cada Parte se compromete a proporcionar apoyo y asistencia comercialmente razonables a la otra Parte para el cumplimiento de las obligaciones de notificación de incumplimiento de la otra Parte en virtud de las Leyes de Protección de Datos aplicables en relación con los Datos Personales. Las notificaciones de Incidentes de Seguridad, si las hubiera, se enviarán a uno o más contactos comerciales, técnicos o administrativos de una Parte por cualquier medio que la Parte seleccione, incluso por correo electrónico. Es responsabilidad exclusiva de cada Parte asegurarse de mantener la información de contacto precisa en los sistemas de soporte de la otra Parte en todo momento.

13.2 Cuando y en la medida en que las Partes estén actuando como Controladores independientes, cada Parte declara y garantiza a la otra Parte que (i) mantendrá políticas y procedimientos sólidos de gestión de incidentes de seguridad según lo requerido por la ley aplicable; y (ii) en la medida en que lo considere aplicable, deberá, al darse cuenta de una violación de seguridad, notificar por escrito a la otra Parte.

14. Transferencias internacionales de Datos

14.1 Las Partes pueden utilizar, ejercer, certificar o autocertificarse con los instrumentos, medidas, contratos y otros mecanismos aplicables para facilitar la transferencia legal de Datos Personales entre territorios, según lo requieran las Leyes de Protección de Datos aplicables. Las Partes pueden transferir Datos Personales de Propietarios de Datos en el Espacio Económico Europeo ("EEE") a otros territorios que la Comisión Europea reconozca formalmente que proporcionan una protección adecuada a los Datos Personales ("Reconocimiento de Adecuación").

14.2 En la medida necesaria según las Leyes de Protección de Datos aplicables, las Partes se comprometen a implementar instrumentos para proteger transferencias de datos internacionales, como las Cláusulas Contractuales Estándar de Controlador a Controlador, las Cláusulas Contractuales Estándar de Controlador a Procesador, y otros instrumentos legales para transferir Datos Personales entre las Partes y entre una Parte a sus Afiliadas, proveedores de servicios y otros terceros. Según corresponda, si: (i) el Reconocimiento de Adecuación se invalida o termina; (ii) las Cláusulas Contractuales Estándar se invalidan o ya no están vigentes; y (iii) cualquier otra garantía de transferencia de Datos Personales ya no está en vigencia por cualquier motivo, entonces las Partes tomarán las medidas legales alternativas, según estén disponibles y aplicables, para continuar facilitando la transferencia legal de los Datos Personales.

14.3 Si una Parte no puede proporcionar una medida alternativa para continuar transfiriendo Datos Personales legalmente, entonces la otra Parte puede rescindir este DPA y el Contrato mediante una notificación por escrito con efecto inmediato.

14.4 Sin perjuicio de lo anterior, el Asociado reconoce que los Datos Personales se pueden almacenar y/o procesar por o en nombre de HERE en un país diferente de donde se proporcionan los Productos de Movilidad. HERE o sus subprocesadores fuera del Espacio Económico Europeo (“EEE”) o Suiza solo podrán exportar o acceder a Datos Personales de un Asociado en el EEE o Suiza si: (i) el destinatario, o el país o territorio en el que se procesa o se accede a los Datos asegura un nivel de protección adecuado según lo determinado por la Comisión Europea; o (ii) se aplican las Cláusulas Contractuales Estándar para la transferencia de Datos Personales a los procesadores establecidos en los terceros países.

15. Vigencia y Terminación.

Este DPA comenzará en la Fecha Efectiva del Contrato, permanecerá vigente durante la vigencia del Contrato y seguirá vigente tras el vencimiento o resolución del Contrato. Si una Parte no puede cumplir con cualquiera de los términos y condiciones de este DPA, de buena fe, la otra Parte puede rescindir inmediatamente el Contrato mediante un aviso por escrito.

16. Cumplimiento.

Cada Parte designará un contacto de privacidad y/o un oficial de protección de datos para supervisar el Procesamiento de los Datos Personales y para servir como punto de contacto para la otra Parte en asuntos de privacidad y protección de datos. Usted puede comunicarse con el contacto designado de HERE por correo electrónico a mobility.privacy@here.com. En un plazo de 5 días hábiles desde la ejecución del Contrato, el Asociado enviará por correo electrónico la información de contacto de su responsable de privacidad designado; si no lo hace, el Asociado acepta que HERE podrá enviar cualquier aviso relacionado con este DPA a la dirección de correo electrónico asociada a su Cuenta.

17. Disposiciones diversas

Este DPA reemplaza todas las propuestas, declaraciones, materiales de ventas, presentaciones y acuerdos, anteriores y contemporáneos, orales y escritos, con respecto al tema de este DPA, incluidos los apéndices de procesamiento de datos anteriores entre HERE y el Asociado. Nada en este DPA reduce las obligaciones de las Partes en virtud del Contrato, incluso en relación con la recopilación y protección de Datos Personales, o permite que cualquiera de las Partes Procese (o permita el Procesamiento de) Datos Personales de una manera que esté prohibida por el Contrato. En el caso de cualquier conflicto o inconsistencia entre este DPA y el Contrato, este DPA prevalecerá únicamente con respecto al tema aquí contenido y únicamente si dicho conflicto o inconsistencia se origina en los requisitos del Artículo 28 del GDPR (excepto donde explícitamente acordado de otra manera por escrito, firmado en nombre de las Partes). Este DPA no tiene la intención, ni limita ni deroga de ninguna manera las obligaciones y responsabilidades respectivas de las Partes (cada una como un Controlador) en virtud del Contrato y/o de conformidad con el GDPR o cualquier ley aplicable al Controlador, en relación con la recopilación, el procesamiento y el uso de Datos Personales.