Anexo de Tratamiento de Datos

Last updated

Este Anexo de Tratamiento de Datos (“DPA”) regula el tratamiento de Datos Personales por parte de Anysphere, Inc. (“Anysphere” o “Proveedor”) de conformidad con el Contrato Marco de Servicios entre Anysphere y el Cliente (“Contrato”), respecto de los Datos Personales proporcionados por el Cliente a través del Servicio. Este DPA establece las instrucciones del Cliente relativas al tratamiento de Datos Personales, así como los derechos y obligaciones de ambas Partes. Salvo lo dispuesto en este DPA, el Contrato permanecerá sin modificaciones y plenamente vigente. En caso de cualquier conflicto entre este DPA y el Contrato, este DPA prevalecerá en la medida de dicho conflicto.

  1. Definiciones. A los efectos del presente DPA, los siguientes términos tendrán los significados que se indican a continuación. Los términos en mayúsculas utilizados pero no definidos en este DPA tendrán los significados que se les atribuyen en el Acuerdo. Todos los demás términos de este DPA no definidos de otro modo en el Acuerdo tendrán los significados correspondientes que se les otorgan en las Leyes de Privacidad.

    1. Cláusulas de Responsable a Encargado del Tratamiento” significa: (a) con respecto a las transferencias de Datos Personales sujetas al GDPR, las cláusulas contractuales tipo para la transferencia de Datos Personales a terceros países establecidas en la Decisión de la Comisión 2021/914 de 4 de junio de 2021, incluyendo específicamente el Módulo 2 (Responsable a Encargado del Tratamiento) (“Cláusulas Contractuales Tipo de la UE”); y (b) con respecto a las transferencias de Datos Personales sujetas al GDPR del Reino Unido, el Addendum Internacional de Transferencia de Datos a las Cláusulas Contractuales Tipo de la Comisión de la UE (versión B.1.0) emitido por el Information Commissioner del Reino Unido (“Addendum del Reino Unido”), en cada caso según se modifiquen, actualicen o sustituyan en cada momento.

    2. Leyes de Privacidad de la UE/Reino Unido” significa: (a) el Reglamento General de Protección de Datos 2016/679 (el “GDPR”); (b) la Directiva sobre la Privacidad y las Comunicaciones Electrónicas 2002/58/CE; (c) la Ley de Protección de Datos del Reino Unido de 2018, el Reglamento General de Protección de Datos del Reino Unido, según se define en la Ley de Protección de Datos del Reino Unido de 2018, modificado por el Reglamento de Protección de Datos, Privacidad y Comunicaciones Electrónicas (Modificaciones, etc.) (Salida de la UE) de 2019 (junto con la Ley de Protección de Datos del Reino Unido de 2018, el “GDPR del Reino Unido”), y el Reglamento sobre Privacidad y Comunicaciones Electrónicas de 2003; y (d) cualquier ley, directiva, orden, norma, reglamento u otro instrumento vinculante pertinente que implemente cualquiera de los anteriores, en cada caso, según corresponda y esté en vigor en cada momento, y según se modifique, consolide, refunda o sustituya en cada momento.

    3. Datos Personales” significa cualquier información que el Proveedor procese en nombre del Cliente para prestar el Servicio y que esté definida como “datos personales” o “información personal” en virtud de cualquier Ley de Privacidad.

    4. Leyes de Privacidad” significa, según corresponda, las Leyes de Privacidad de la UE/Reino Unido, las Leyes de Privacidad de EE. UU. y cualquier ley similar de cualquier jurisdicción relacionada con la protección de datos, la privacidad o el uso de Datos Personales, en cada caso, según corresponda y esté en vigor en cada momento, y según se modifique, consolide, refunda o sustituya en cada momento.

    5. Cláusulas de Encargado a Encargado del Tratamiento” significa: (a) con respecto a las transferencias de Datos Personales sujetas al GDPR, las cláusulas contractuales tipo para la transferencia de datos personales a terceros países establecidas en la Decisión de la Comisión 2021/914 de 4 de junio de 2021, incluyendo específicamente el Módulo 3 (Encargado a Encargado del Tratamiento); y (b) con respecto a las transferencias de Datos Personales sujetas al GDPR del Reino Unido, el Addendum Internacional de Transferencia de Datos a las Cláusulas Contractuales Tipo de la Comisión de la UE (versión B.1.0) emitido por el Information Commissioner del Reino Unido, en cada caso según se modifiquen, actualicen o sustituyan en cada momento.

    6. Tercer País” significa cualquier país o territorio fuera del ámbito de aplicación de las leyes de protección de datos del Espacio Económico Europeo o del Reino Unido, según corresponda, excluyendo los países o territorios aprobados periódicamente por la autoridad competente correspondiente como que proporcionan una protección adecuada para los Datos Personales.

    7. Leyes de Privacidad de EE. UU.” significa, según corresponda, la California Consumer Privacy Act, modificada por la California Privacy Rights Act, la Virginia Consumer Data Protection Act, la Colorado Privacy Act, la Connecticut Data Privacy Act, la Utah Consumer Privacy Act y cualquier ley similar de cualquier estado relacionada con la protección de datos, la privacidad o el uso de Datos Personales.

  2. Modificaciones. Las Partes acuerdan negociar de buena fe modificaciones a este DPA si se requieren cambios para que el Proveedor continúe procesando los Datos Personales según lo contemplado en el Acuerdo o en este DPA en cumplimiento de las Leyes de Privacidad, o para abordar la interpretación jurídica de las Leyes de Privacidad. El Proveedor se reserva el derecho de actualizar este DPA según sea necesario para cumplir con las Leyes de Privacidad o con requisitos legales cambiantes, siempre que dichas actualizaciones no reduzcan de manera sustancial los derechos del Cliente ni incrementen de manera sustancial las obligaciones del Cliente en virtud de este DPA. El Proveedor notificará al Cliente dichas actualizaciones por escrito al menos treinta (30) días antes de su fecha de entrada en vigor, a menos que la ley exija un período de preaviso más corto.

  3. Funciones de las partes. Las Partes reconocen que, a los efectos de las Leyes de Privacidad, el Cliente es el “receptor del servicio”, “responsable del tratamiento”, “empresa” o cualquier término similar que se utilice en las Leyes de Privacidad, y el Proveedor es el “prestador de servicios”, “encargado del tratamiento”, “contratista” o cualquier término similar que se utilice en las Leyes de Privacidad.

  4. Detalles del Tratamiento. Las Partes acuerdan que los detalles del tratamiento son los que se describen en el Anexo 1 que se adjunta al presente.

  5. Obligaciones del Cliente. El Cliente cumplirá con todas las Leyes de Privacidad al proporcionar Datos Personales al Proveedor en relación con el Servicio. El Cliente declara y garantiza que: (a) las Leyes de Privacidad aplicables al Cliente no impiden que el Proveedor cumpla las instrucciones recibidas del Cliente ni desempeñe las obligaciones del Proveedor en virtud de este DPA; (b) todos los Datos Personales fueron recopilados y en todo momento tratados y conservados por o en nombre del Cliente en cumplimiento de todas las Leyes de Privacidad, incluso respecto de cualquier obligación de proporcionar notificación y/o obtener el consentimiento de las personas interesadas; y (c) el Cliente cuenta con una base legal para comunicar los Datos Personales al Proveedor y permitir que el Proveedor trate los Datos Personales según lo establecido en este DPA. El Cliente notificará al Proveedor sin demora indebida si determina que el tratamiento de Datos Personales en virtud del Acuerdo no cumple o no cumplirá con las Leyes de Privacidad, en cuyo caso el Proveedor no estará obligado a continuar tratando dichos Datos Personales.

  6. Tratamiento de Datos Personales. El Cliente conserva la propiedad de todos los Datos Personales tratados en virtud de este DPA. El Proveedor únicamente tratará Datos Personales: (i) para prestar el Servicio, según se describe con más detalle en el Anexo 1, y de conformidad con, y para los fines establecidos en, las instrucciones documentadas que el Cliente emita en cada momento, incluidos los consentimientos y autorizaciones proporcionados a través del Servicio; (ii) para el cumplimiento de las obligaciones legales aplicables al Proveedor; y (iii) según lo instruya de otro modo el Cliente por escrito. El Proveedor notificará al Cliente sin demora indebida si determina que ya no puede cumplir sus obligaciones en virtud de las Leyes de Privacidad aplicables o no puede cumplir alguna instrucción del Cliente con respecto al uso de los Datos Personales. En la medida en que lo exijan las Leyes de Privacidad, y previa notificación razonable por escrito de que el Cliente cree razonablemente que el Proveedor está utilizando Datos Personales en violación de las Leyes de Privacidad o de este DPA, el Proveedor reconocerá al Cliente el derecho a adoptar medidas razonables y adecuadas para ayudar a garantizar que el Proveedor utilice los Datos Personales de una manera coherente con las obligaciones del Cliente en virtud de las Leyes de Privacidad, y a detener y remediar cualquier uso no autorizado de los Datos Personales. El Proveedor exigirá que cada empleado u otra persona que trate Datos Personales esté sujeto a un deber de confidencialidad adecuado con respecto a dichos Datos Personales, de conformidad con las disposiciones de este Contrato.

  7. Prohibiciones. En la medida en que lo exijan las Leyes de Privacidad aplicables, el Proveedor tiene prohibido: (a) vender los Datos Personales, salvo en forma desidentificada, agregada o anonimizada; (b) compartir los Datos Personales con fines de publicidad conductual entre distintos contextos; (c) conservar, utilizar o divulgar los Datos Personales para cualquier fin distinto de (i) el fin específico de prestar el Servicio, (ii) desarrollar, mejorar o perfeccionar el Servicio mediante el uso de datos desidentificados, agregados o anonimizados, o (iii) según lo permitan de otro modo las Leyes de Privacidad; (d) conservar, utilizar o divulgar los Datos Personales fuera de la relación comercial directa entre el Proveedor y el Cliente, excepto según se describe anteriormente; y (e) combinar los Datos Personales recibidos de, o en nombre de, el Cliente con cualquier Dato Personal que pueda recopilarse a partir de interacciones independientes del Proveedor con la(s) persona(s) a la(s) que se refieren los Datos Personales o de cualquier otra fuente, salvo para llevar a cabo un propósito comercial o según lo permitan de otro modo las Leyes de Privacidad.

  8. Uso de subencargados del tratamiento. En la medida en que el Proveedor utilice a cualquier subencargado del tratamiento para tratar Datos Personales en su nombre:

    1. Por el presente, el Cliente otorga al Proveedor una autorización general por escrito para contratar a los subencargados del tratamiento indicados en el Anexo 2, sujeta a los requisitos de esta Sección 8.

    2. Si el Proveedor nombra a un nuevo subencargado del tratamiento o tiene la intención de realizar cambios relacionados con la incorporación o sustitución de cualquier subencargado del tratamiento, deberá proporcionar al Cliente un aviso previo por escrito de treinta (30) días hábiles publicando actualizaciones en trust.cursor.com/subprocessors, durante el cual el Cliente podrá oponerse a dicho nombramiento o sustitución por motivos razonables y documentados relacionados con la confidencialidad o la seguridad de los Datos Personales o con el cumplimiento del subencargado del tratamiento de las Leyes de Privacidad (y, si el Cliente no presenta tal objeción, el Proveedor podrá proceder con el nombramiento o la sustitución). En circunstancias urgentes que requieran cambios inmediatos de subencargados del tratamiento (por ejemplo, incidentes de seguridad, interrupciones del servicio), el Proveedor podrá proceder con los cambios y proporcionar el aviso dentro de los diez (10) días hábiles siguientes. Si el Cliente se opone al nombramiento o sustitución de un subencargado del tratamiento según lo descrito en el presente documento, el Proveedor realizará esfuerzos comercialmente razonables para abordar las preocupaciones del Cliente, lo que puede incluir proponer un subencargado del tratamiento diferente o implementar salvaguardas adicionales para mitigar los riesgos identificados. Si las Partes no pueden resolver la objeción dentro de los treinta (30) días siguientes a la notificación escrita de objeción del Cliente, el Cliente podrá rescindir la parte afectada del Servicio mediante notificación por escrito al Proveedor. En caso de dicha rescisión, el Proveedor proporcionará al Cliente un reembolso prorrateado de cualquier tarifa pagada por adelantado correspondiente a la parte restante no utilizada del Servicio rescindido.

    3. El Proveedor contratará subencargados del tratamiento únicamente en virtud de un acuerdo escrito que contenga obligaciones para el subencargado del tratamiento que lo vinculen al menos al mismo nivel de protección de datos que el previsto en este DPA. El Proveedor será responsable frente al Cliente por el incumplimiento de dichos subencargados del tratamiento en el cumplimiento de sus respectivas obligaciones.

  9. Asistencia. En la medida en que lo exijan las Leyes de Privacidad y teniendo en cuenta la naturaleza del tratamiento, el Proveedor, en relación con el tratamiento de los Datos Personales y para permitir que el Cliente cumpla con las obligaciones que surjan como resultado de dicho tratamiento, proporcionará una asistencia razonable al Cliente, mediante medidas técnicas y organizativas apropiadas, para: (a) responder a solicitudes de los interesados de conformidad con sus derechos en virtud de las Leyes de Privacidad, incluso proporcionando, eliminando o corrigiendo los Datos Personales pertinentes, o permitiendo que el Cliente haga lo mismo, en la medida en que esto sea posible; (b) implementar procedimientos y prácticas de seguridad razonables y apropiados a la naturaleza de los Datos Personales, a fin de proteger los Datos Personales contra el acceso, la destrucción, el uso, la modificación o la divulgación no autorizados o ilegales; (c) notificar a las autoridades competentes pertinentes y/o a los interesados afectados sobre violaciones de la seguridad de los Datos Personales; (d) llevar a cabo evaluaciones de impacto en la protección de datos y, si se requiere, consultas previas con las autoridades competentes pertinentes; y (e) suscribir este DPA.

  10. Medidas de seguridad. El Proveedor, teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, el alcance, el contexto y la finalidad del tratamiento, implementará, y se asegurará de que su personal autorizado cumpla con, las medidas técnicas y organizativas apropiadas diseñadas para proporcionar un nivel de seguridad adecuado al riesgo, según se establece en el Anexo 3, o según se acuerde y documente de otro modo entre el Cliente y el Proveedor cada cierto tiempo. El Proveedor no disminuirá de forma sustancial el nivel general de seguridad de los servicios durante el período de tratamiento. En la medida en que lo exijan las leyes de privacidad, el Proveedor, sin dilación indebida y, en cualquier caso, dentro de las cuarenta y ocho (48) horas, notificará por escrito al Cliente cualquier brecha de seguridad que dé lugar a la destrucción accidental o ilícita, la pérdida, la alteración, la divulgación no autorizada de, o el acceso a, Datos Personales, proporcionando información adicional sobre la brecha por fases, a medida que haya más detalles disponibles. El Cliente acepta que, sin limitar lo anterior, el Cliente es el único responsable de su propio uso del Servicio, incluyendo: (a) proteger las credenciales de autenticación de la cuenta, los sistemas y los dispositivos que el Cliente utiliza para acceder al Servicio; (b) proteger los sistemas y dispositivos del Cliente que utiliza junto con el Servicio; y (c) mantener sus propias copias de seguridad de los Datos del Cliente.

  11. Acceso y auditorías. Tras una solicitud razonable del Cliente, el Proveedor pondrá a disposición del Cliente la información que tenga en su poder y que sea razonablemente necesaria para demostrar el cumplimiento por parte del Proveedor de sus obligaciones en virtud de este DPA, y permitirá y contribuirá a la realización de auditorías, incluidas inspecciones, llevadas a cabo por el Cliente u otro auditor designado por el Cliente y razonablemente aceptado por el Proveedor, a cargo exclusivamente del Cliente, salvo que se descubra un incumplimiento material. El Cliente podrá llevar a cabo dicha evaluación no más de una vez cada doce (12) meses, previa notificación escrita al Proveedor con treinta (30) días de antelación, y solo después de que las Partes lleguen a un acuerdo sobre el alcance de la auditoría y de que el auditor quede sujeto a un deber de confidencialidad. Además, el Cliente podrá realizar una auditoría adicional si existen dudas razonables sobre el cumplimiento del Proveedor en materia de protección de datos tras una violación de datos personales o una solicitud de un organismo regulador o autoridad de protección de datos. Como alternativa a una auditoría realizada por el Cliente o bajo su dirección, en la medida en que lo permitan las Leyes de Privacidad, el Proveedor podrá encargar, a su propio cargo, a un auditor cualificado e independiente que lleve a cabo una evaluación de las políticas del Proveedor y de las medidas técnicas y organizativas en apoyo de sus obligaciones en virtud de las Leyes de Privacidad, utilizando un estándar o marco de control adecuado y aceptado y un procedimiento de evaluación apropiado para dicha evaluación, y proporcionará un informe de dicha evaluación al Cliente previa solicitud razonable. No obstante lo anterior, en ningún caso se exigirá al Proveedor que otorgue al Cliente acceso a información, instalaciones o sistemas en la medida en que hacerlo pudiera provocar que el Proveedor incumpla obligaciones de confidencialidad frente a otros clientes o sus obligaciones legales.

  12. Eliminación de Datos Personales. A solicitud por escrito del Cliente, el Proveedor eliminará o devolverá todos los Datos Personales al Cliente, según lo solicitado, al finalizar la prestación del Servicio, dentro de los treinta (30) días posteriores a dicha solicitud, salvo que la ley exija la conservación de los Datos Personales y, previa solicitud, proporcionará una certificación escrita de ello.

  13. Transferencias de Datos. En la medida en que el Proveedor trate Datos Personales sujetos a las Leyes de Privacidad de la UE y del Reino Unido en un Tercer País y actúe como importador de datos, el Proveedor cumplirá las obligaciones del importador de datos y el Cliente cumplirá las obligaciones del exportador de datos establecidas en las Cláusulas de Responsable a Encargado, que por el presente se incorporan a este DPA y pasan a formar parte del mismo, y:

    1. a los efectos del Anexo I o de la Parte 1 (según corresponda) de tales Cláusulas de Responsable a Encargado, el Cliente es un responsable y el Proveedor es un encargado, y las partes, los datos de la persona de contacto y los detalles del tratamiento establecidos en el Contrato, este DPA y el Anexo 1 serán de aplicación, la Fecha de Inicio será la fecha de entrada en vigor del Contrato, y la(s) firma(s) (en cualquier forma) otorgada(s) en relación con la ejecución de este Contrato por una parte y las fechas de dicha(s) firma(s) se considerarán la firma con fecha exigida a esa parte;

    2. si procede, a los efectos de la Parte 1 del Addendum del Reino Unido, las Cláusulas Contractuales Tipo de la UE pertinentes del Addendum (según se define dicho término en el Addendum del Reino Unido) serán las Cláusulas Contractuales Tipo de la UE incorporadas a este DPA en virtud de la Sección 13. En caso de conflicto o ambigüedad entre este DPA y las Cláusulas Contractuales Tipo, prevalecerán estas últimas;

    3. a los efectos del Anexo II o de la Parte 1 (según corresponda) de tales Cláusulas de Responsable a Encargado, serán de aplicación las medidas técnicas y organizativas de seguridad, y las medidas técnicas y organizativas adoptadas por el Proveedor para ayudar al Cliente, según se establecen en el Anexo 3; y

    4. si procede, a los efectos del Anexo III o de la Parte 1 (según corresponda) de tales Cláusulas de Responsable a Encargado, será de aplicación la lista de subencargados autorizados establecida en el Anexo 4 (Subencargados autorizados);

    5. si procede, a los efectos de: (i) la Cláusula 9, se considerará seleccionada la Opción 2 (“Autorización general por escrito”) y será de aplicación el período de preaviso especificado en la Sección 8; (ii) la Cláusula 11(a), se considerará suprimida la redacción opcional relativa a la resolución independiente de controversias; (iii) la Cláusula 13 y el Anexo I.C, la autoridad de control competente será la Comisión de Protección de Datos de Irlanda; (iv) las Cláusulas 17 y 18, se considerará seleccionada la Opción 1 y la ley aplicable y los tribunales competentes serán los de la República de Irlanda; (vi) la Parte 1, el Proveedor, como importador, podrá rescindir el Addendum del Reino Unido de conformidad con la Sección 19 de dicho Addendum del Reino Unido;

    6. el Proveedor podrá designar a una filial o a un subencargado tercero para tratar los Datos Personales en un Tercer País, en cuyo caso, el Proveedor celebrará las Cláusulas de Encargado a Encargado con cualquier subencargado pertinente (incluidas las filiales) que designe en nombre del Cliente; y

    7. el Proveedor podrá basarse en una decisión de adecuación, en el EU-US Data Privacy Framework, en las derogaciones para situaciones específicas en virtud de las Leyes de Privacidad, o en cualquier otro mecanismo lícito de transferencia de datos para garantizar el cumplimiento de las Leyes de Privacidad.

Cualquier disputa relacionada con transferencias transfronterizas o con el cumplimiento de las Leyes de Privacidad aplicables en relación con dichas transferencias se resolverá de acuerdo con la ley aplicable y la jurisdicción especificadas en el Acuerdo.


ANEXO 1

Detalles del Tratamiento

1. Naturaleza del tratamiento

  • Acceso, uso, divulgación, almacenamiento, eliminación y/o otro tratamiento de Datos Personales por parte del Proveedor en relación con la prestación del Servicio del Proveedor al Cliente según se establece en el Acuerdo.

2. Finalidad(es) del tratamiento

  • Prestación del Servicio por parte del Proveedor al Cliente según se establece en el Acuerdo.

3. Categorías de personas cuyos Datos Personales son tratados

  • Usuarios Autorizados del Cliente.

4. Categorías de Datos Personales tratados

  • Datos relativos a personas recopilados por el Proveedor en nombre del Cliente o proporcionados de otro modo al Proveedor por el Cliente.

5. Tipos de Datos Personales objeto del tratamiento que se consideran «sensibles» o de «categoría especial» según las Leyes de Privacidad

  • El Cliente y/o su personal no deberán proporcionar ningún dato sensible ni de categoría especial en virtud de este Acuerdo, y el Proveedor no es responsable del tratamiento de datos sensibles proporcionados por el Cliente. El Proveedor no recopila ni trata intencionalmente ninguna categoría especial de Datos Personales.

6. Frecuencia (por ejemplo, única o continua) y duración del tratamiento

  • Los Datos Personales pertinentes se tratan de manera continua, durante la vigencia del Acuerdo y durante cualquier período de conservación posterior a su terminación según se establece en el Acuerdo.

7. El objeto, la naturaleza y la duración del tratamiento llevado a cabo por cualesquiera subencargados autorizados de conformidad con la Sección 8

  • Según se establece en este Anexo 1 y en el Anexo 2.

ANEXO 2

Subencargados Autorizados

La lista de subencargados autorizados del Proveedor se mantiene y actualiza en https://trust.cursor.com/subprocessors.

ANEXO 3

Medidas Técnicas y Organizativas

Este Anexo 3 establece las medidas de seguridad técnicas y organizativas implementadas por Anysphere, Inc. («Anysphere») en virtud del Acuerdo de Tratamiento de Datos («DPA»). Anysphere cuenta con la certificación SOC 2 Tipo II, y puede obtener una copia de nuestra certificación a través de nuestro Trust Center, https://trust.cursor.comTrust Center»). Además, las prácticas de seguridad de Anysphere se describen con mayor detalle en nuestra página de seguridad, disponible en https://www.cursor.com/security. Las medidas de seguridad técnicas y organizativas de Anysphere incluyen:

  1. Controles de acceso: El acceso a los datos personales se limita únicamente al personal autorizado, con controles de acceso basados en roles y mecanismos de autenticación sólidos, como la autenticación multifactor, a fin de proteger el acceso.

  2. Capacitación y concienciación de empleados: Los empleados reciben capacitación periódica sobre protección de datos, privacidad y mejores prácticas de seguridad.

  3. Cifrado de datos: Anysphere emplea protocolos de cifrado estándar de la industria para garantizar que los datos personales estén cifrados en reposo y en tránsito. Las claves de cifrado se gestionan de forma segura y se rotan periódicamente.

  4. Seguridad de la infraestructura: El marco de infraestructura y los protocolos de seguridad de Anysphere se describen en nuestro Trust Center.

  5. Seguridad de la red: La seguridad de la red se mantiene mediante la implementación de firewalls y sistemas de detección y prevención de intrusiones, y se realizan evaluaciones periódicas de vulnerabilidades y pruebas de penetración. Puede solicitar una copia de nuestro informe de pruebas de penetración (Penetration Test Report) a través de nuestro Trust Center.

  6. Seguridad de las aplicaciones: Se siguen prácticas seguras de desarrollo de software, que incluyen revisiones de código y pruebas de seguridad, y se utilizan firewalls de aplicaciones web para proteger contra exploits web comunes.

  7. Respaldo y recuperación de datos: Se realizan copias de seguridad periódicas de los datos personales y se almacenan de forma segura, con planes de recuperación ante desastres y de continuidad del negocio implementados y probados periódicamente.

  8. Seguridad de los centros de datos: Los centros de datos están protegidos por controles de seguridad física, incluidos controles de acceso, sistemas de vigilancia y personal de seguridad. El acceso a los centros de datos se limita únicamente al personal autorizado.

  9. Seguridad de las oficinas: Las instalaciones de las oficinas se aseguran con controles de acceso, sistemas de alarma y cámaras de vigilancia, y los visitantes deben registrarse y son acompañados por personal autorizado.

  10. Monitoreo de seguridad: Anysphere lleva a cabo un monitoreo continuo de los sistemas y redes para detectar y responder a incidentes de seguridad. Se utilizan sistemas de gestión de información y eventos de seguridad para correlacionar y analizar los eventos de seguridad.

  11. Respuesta a incidentes: Existe un plan de respuesta a incidentes para manejar los incidentes de seguridad de forma rápida y eficaz, y los procedimientos de notificación de brechas de datos cumplen con las leyes y normativas aplicables.

  12. Privacidad desde el diseño (Privacy by Design): Los principios de protección de datos se integran en el diseño y desarrollo de sistemas y procesos mediante la implementación de Privacy by Design. Se realizan evaluaciones periódicas de impacto en la privacidad para identificar y mitigar riesgos.

  13. Minimización de datos: La recopilación y el procesamiento de datos personales se limitan a lo necesario para los fines especificados, y se emplean técnicas de anonimización y seudonimización de datos cuando corresponde.

  14. Monitoreo y mejora continuos: Anysphere monitorea continuamente sus políticas de privacidad y seguridad de datos, implementando mejoras y actualizaciones según sea necesario para garantizar el más alto nivel de protección de los datos de nuestros usuarios. Nos esforzamos por mantenernos a la vanguardia de las mejores prácticas de la industria y de la evolución de los requisitos legales para preservar la confianza y la seguridad de nuestros clientes.

Al implementar estas medidas, Anysphere se compromete a mantener altos estándares de privacidad y seguridad de los datos, lo que permite que nuestros usuarios se beneficien del Servicio.