Centro de recursos Blog Fuente abierta Socios
Buscador
Productos
Base de conocimientos
Descargas de asistencia
Artículos
suggested searches
Productos Soluciones Innovación Soporte Acerca de
Open
Por tipo Unidades de disco duro externas Unidades de disco duro internas Unidades SSD externas Unidades SSD internas Unidades de disco duro y de estado sólido (SSD) empresariales Sistemas de almacenamiento de datos Servicios de almacenamiento para Enterprise
Por categoría Dispositivos de almacenamiento personal Dispositivos de almacenamiento para juegos Profesional creativo Almacenamiento conectado en red (NAS) Análisis de video Nube, periferia y centro de datos Hiperescala y Nube
Por marca LaCie
Por caso de uso Copias de seguridad y recuperación Análisis de grandes volúmenes de datos (inteligencia artificial [IA]/aprendizaje automático [ML]) Copias de seguridad en nube Migración de datos Transferencia de datos Computación de alto desempeño (HPC) El almacenamiento se suministra como un servicio Análisis de video
Por entorno Periferia Múltiples nubes Nube privada Nube pública Hiperescala y Nube
Por socio IBM AWS Commvault Veeam VMWare Milestone Equinix EVS NI Conozca todos los socios de Seagate
A través de la industria Vehículos autónomos Servicios de salud Medios y entretenimiento Vigilancia y seguridad Telecomunicaciones Geociencias y Energía
lyve-infrequent-access-nav-banner
Learn more

Perspectivas Almacenamiento para la era de la IA Por qué es importante la densidad de área Infraestructura componible Informe Decarbonizing Data
Innovaciones en el almacenamiento de datos Plataforma Mozaic 3+ Unidades de disco duro de accionador múltiple MACH.2 Seagate Secure
Innovaciones en la gestión de datos Programa de Circularidad Comunidad de desarrolladores de código abierto
Factory AI Innovations Smart Manufacturing AI Enhanced Automated Vision System Autonomous Monitoring Augmented Code Development Singapore Dream Factory
decarb-data-report-nav-banner
Read the report

General Página de inicio de asistencia Soporte de productos Descargas de software de Seagate Descargas de software de LaCie Registro de productos Seagate Registro de productos LaCie
Garantía y recuperación de datos Garantía y Reemplazos Servicios de recuperación de datos Informar sobre productos fraudulentos
Empresas Soporte de Seagate Systems Soporte de Lyve Mobile Soporte de Lyve Cloud
Leer el artículo
Leer el artículo

Nuestra historia Equipo de líderes Junta directiva ESG Centro de Confianza Seguridad de los productos Control de calidad
Únase a nuestro equipo de Seagate La vida en Seagate Cultura de Seagate Grupos de recursos para empleados Programas universitarios
Inversionistas
Recursos de noticias Sala de prensa Historias de Seagate Blog Portal de la marca Seagate
Mozaic 3+

Seagate Legal

Acuerdo de Privacidad de Datos

ANEXO

Este Acuerdo de privacidad de datos, incluidos todos los anexos que se establecen a continuación (este "DPA"), es entre la empresa de Seagate mencionada en el Contrato ("Seagate") y la Compañía nombrada en el Acuerdo ("Empresa”) (cada uno un “fiesta” y colectivamente el “fiestas”).

 

La Empresa ha suscrito una o más órdenes de compra, contratos y/o acuerdos, incluidos los enunciados de trabajo (los “Acuerdos”), con Seagate, en virtud de los cuales la Empresa se ha comprometido a prestar determinados servicios a Seagate, según se detalla en los Acuerdos (“Servicios”).

 

Las partes celebran este APD para garantizar que el Procesamiento por parte de la Empresa de los Datos personales proporcionados a la Empresa o recopilados por la Empresa para Seagate y/o en su nombre, se realice de manera que cumpla con las Leyes de protección de datos y sus requisitos con respecto a la recopilación, el uso y la conservación de los Datos personales de los interesados.

 

Este APD se incorpora y forma parte de los Acuerdos. Todas las palabras en mayúsculas no definidas en este APD tendrán el significado establecido en los Acuerdos.

Las partes interesadas reconocen y acuerdan lo siguiente:

 

  1. DEFINICIONES
    1. Un “afiliado” se refiere a una entidad que dirige, es dirigida o está bajo una dirección común con la parte titular.
    2. Control” se refiere a un interés de propiedad, voto o similar que represente el cincuenta por ciento (50 %) o más de los intereses totales (medidos sobre una base totalmente diluida) en circulación de la entidad en cuestión. El término "Controlado” se interpretará en consecuencia.
    3. Una “infracción de la privacidad de los datos” se refiere la destrucción accidental o ilícita, pérdida, alteración, divulgación o acceso no autorizado a información personal de Seagate, o a otro tipo de procesamiento no autorizado de información personal de Seagate.
    4. Ley(es) de protección de datos” se refiere a todas las leyes, normas y regulaciones mundiales de protección de datos, seguridad de datos y privacidad, aplicables a los Datos personales en cuestión, lo que incluye, cuando corresponda: (i) la Ley Europea de Protección de Datos; (ii) todas las leyes, normas y reglamentos de Estados Unidos, incluidas las Leyes de privacidad estatales de EE. UU., según se modifiquen, reemplacen o actualicen cada cierto tiempo; y (iii) las normas aplicables del sector adecuadas a la naturaleza de los Datos personales.
    5. Leyes europeas de protección de datos” se refiere a todas las leyes y regulaciones de protección de datos aplicables a la Unión Europea (“UE”) o el Espacio Económico Europeo (“EEE”), incluyendo:
      1. el Reglamento general de protección de datos 2016/679 ("RGPD UE”);
      2. el RGPD tal como se guarda en la ley del Reino Unido en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) del Reino Unido de 2018 y la Ley de Protección de Datos del Reino Unido de 2018 (la"RGPD RU”)
      3. la Ley Federal de Protección de Datos de Suiza del 19 de junio de 1992 y sus ordenanzas correspondientes ("Swiss DPA”); y
      4. Directiva 2002/58/CE relativa al tratamiento de datos personales y la protección de la privacidad en el sector de las comunicaciones electrónicas; y
      5. implementaciones nacionales aplicables de (i), (ii) y (iii).
    6. El “Titular de los Datos” es una persona natural identificada o identificable cuya Información Personal perteneciente a puede procesarse en virtud del presente acuerdo de privacidad de los datos (APD).
    7. SCC de la UE” se refiere a las cláusulas contractuales anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, sobre cláusulas contractuales estándar para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
    8. Datos personales” se refiere a cualquier información que esté protegida como datos personales, información personal o información de identificación personal o términos definidos de manera similar en virtud de las Leyes de protección de datos.
    9. Los términos “Proceso” o “Procesamiento” se refieren, sin tener carácter exclusivo, a las operaciones realizadas con la Información Personal perteneciente a, ya sea o no por medios automatizados, como recopilación, registro, organización, estructuración, alteración, uso, acceso, divulgación, copia, transferencia, almacenamiento o retención, eliminación, combinación, restricción, adaptación, recuperación, consulta, destrucción, desecho o utilización de la Información Personal perteneciente a Seagate.
    10. Restringido Transferir” significa:
      1. cuando se aplique el RGPD de la UE, una transferencia de Datos personales desde el EEE a un país fuera del EEE que no esté sujeto a una determinación de idoneidad por parte de la Comisión Europea.
      2. cuando se aplique el RGPD del Reino Unido, una transferencia de Datos personales desde el Reino Unido a cualquier otro país que no esté sujeto o no se base en las regulaciones de adecuación de conformidad con la Sección 17A de la Ley de Protección de Datos del Reino Unido de 2018; y
      3. cuando se aplique el APD suizo, una transferencia de Datos personales desde Suiza a cualquier otro país que no se base en una decisión de adecuación reconocida por la ley de protección de datos suiza.
    11. Información personal de Seagate” hace referencia a cualquier información que esté protegida como datos personales, información de identificación personal o información personal en virtud de las Leyes de protección de datos, que sea creada, posea o proporcionada por Seagate o para Seagate, a la que la Empresa tenga acceso, obtenga, use, mantenga o procese. en nombre de Seagate en relación con cualquier Acuerdo entre las partes y/o sus Filiales.
    12. Información Confidencial se refiere a cualquiera de los siguientes tipos de Información Personal perteneciente a Seagate: (i) número de seguro social, número de identificación fiscal, número de pasaporte, número del permiso de conducir u otro número de identificación emitido por el gobierno; (ii) datos de una tarjeta de crédito o débito o número de cuenta financiera, con o sin un código o contraseña que permita acceso a la cuenta o historial de crédito; o (iii) información sobre la raza, religión, grupo étnico, vida o prácticas sexuales u orientación sexual, información médica o de salud, información genética o biométrica, plantillas biométricas, creencias políticas o filosóficas, afiliación a partidos políticos o sindicatos laborales, información de antecedentes o datos judiciales, como antecedentes penales o información sobre otros procesos jurídicos o administrativos. Para los fines de este APD, la información confidencial incluye información personal confidencial, datos confidenciales o términos definidos de manera similar según lo definido en las leyes de protección de datos aplicables, categorías especiales de datos según se definen en el RGPD de la UE y el RGPD del Reino Unido y datos personales confidenciales según se define en el Swiss DPA.
    13. Cláusulas estándar” significa (según corresponda) las CEC de la UE, el Anexo del Reino Unido y las modificaciones suizas establecidas en la Sección 3.1(i)(3) de este APD.
    14. Un "subprocesador” es una entidad externa contratada por el proveedor o algún otro subprocesador que vaya tener acceso, reciba o procese cualquier información personal de Seagate.
    15. Autoridad supervisora” hace referencia a cualquier agencia reguladora, supervisora, gubernamental, estatal, Fiscal General u otra autoridad competente con jurisdicción o supervisión sobre el cumplimiento de las Leyes de protección de datos.
    16. Personal de la empresa” hace referencia a cualquier empleado, contratista, subprocesador o agente de la Empresa a quien la Empresa autorice a Procesar Información personal perteneciente a Seagate.
    17. Anexo RU” se refiere al Anexo de transferencia internacional de datos (versión B1.0) emitido por la Oficina del Comisionado de Información en virtud de la S.119(A) de la Ley de Protección de Datos del Reino Unido de 2018, según se actualice o se modifique ocasionalmente.
    18. Leyes de privacidad estatales de EE. UU. se refiere a todas las leyes, normas y regulaciones aplicables de privacidad de datos, protección de datos y ciberseguridad a las que están sujetos los Datos personales de la Empresa.
    19. Los términos “Controlador”, “Titular de los datos”, “Procesador”, “Empresa”, “Empresa Propósito”, “Comercial Propósito”, “Recopilar”, “Consumidor”, “Compartir”, “Vender”, “Supervisión Autoridad”, y “Servicio Proveedor” tendrán el significado que se les da en virtud de las Leyes de protección de datos.
    20. La palabra “incluye” deberá interpretarse en el sentido de incluir sin tratarse de una lista exhaustiva, y los términos afines deberán interpretarse de igual manera.
  2. PROTECCIÓN Y SEGURIDAD DE LOS DATOS
    1. Estado de las partes. Con respecto a la Información personal de Seagate, las partes reconocen y aceptan que la Empresa procesará dichos Datos personales como Procesador, en nombre de Seagate. Por la presente, se instruye a la Empresa para que procese los Datos personales en la medida necesaria para proporcionar los Servicios según lo establecido en los Acuerdos y este APD.
    2. CCPA Roles. A los efectos de la Ley de Privacidad del Consumidor de California de 2018 (Código Civil de California §§ 1798.100 et seq (“CCPA"), modificada por la Ley de Derechos de Privacidad de California ("CPRA”)) (cuando corresponda), la Empresa procesará los Datos personales como proveedor de servicios siguiendo las instrucciones de Seagate como empresa.
    3. El proveedor no podrá divulgar información personal perteneciente a Seagate de ninguna forma y para ningún fin a entidades externas sin primero obtener el consentimiento de Seagate por escrito para hacerlo, a menos que la divulgación sea a los subprocesadores de acuerdo con el apartado 2.5 más abajo. Sin limitar lo anterior, en ningún caso el proveedor podrá vender o divulgar Información personal perteneciente a Seagate a entidades externas para beneficio comercial del proveedor o de una entidad externa. Cualquier persona autorizada para procesar información personal de Seagate debe aceptar contractualmente mantener la confidencialidad de dicha información o estar bajo una obligación legal de confidencialidad.
    4. Limitaciones en el procesamiento. La Empresa solo procesará la Información personal de Seagate con el fin de proporcionar los Servicios a Seagate en virtud de los Acuerdos y de acuerdo con las instrucciones legales documentadas de Seagate ("Fines permitidos”). Para estos fines, Seagate da instrucciones a la Empresa para que procese la Información personal de Seagate para los fines descritos en el Anexo I (Descripción de la transferencia). La Empresa no Procesará ni permitirá el Procesamiento de Información personal de Seagate, salvo que sea necesario para prestar servicios a Seagate de acuerdo con cualquier Acuerdo entre las partes y/o sus Afiliados u otras instrucciones escritas de Seagate.
    5. Requisitos de procesamiento. La Empresa deberá en todo momento: (a) procesar los datos personales únicamente para los fines permitidos; y (b) no procesará datos personales para sus propios fines o los de terceros. La Empresa no deberá: (i) vender o compartir datos personales; (ii) retener, usar o divulgar Datos personales para fines distintos a los Propósitos permitidos, incluida la retención, el uso o la divulgación de Datos personales para un fin comercial que no sea la prestación de los Servicios en virtud del Acuerdo; o (iii) retener, usar o divulgar Datos personales fuera de la relación comercial directa entre Seagate y la Empresa. La Empresa deberá notificar a Seagate si ya no puede cumplir con sus obligaciones en virtud de la CCPA/CPRA. La Empresa certifica que comprende y cumplirá con los requisitos y restricciones establecidos en esta Sección 2.5 y cumplirá además con los requisitos aplicables a los Proveedores de servicios en virtud de la CCPA/CPRA. Además, las Partes reconocen y aceptan que el intercambio de Datos personales entre las Partes no constituye una Venta, ni forma parte de ninguna contraprestación monetaria o de otro tipo intercambiada entre las Partes con respecto a los Acuerdos o este APD. En todos los casos, la Empresa no combinará los Datos personales recibidos de Seagate con los Datos personales que la Empresa reciba de, o en nombre de, otra persona o personas, o que la Empresa recopile de cualquier interacción entre ella y un Consumidor. Tanto Seagate como la Empresa declaran haber leído y comprendido los requisitos establecidos en la CCPA/CPRA.
    6. El proveedor deberá implementar, gestionar, supervisar y, en caso necesario, actualizar un programa de seguridad de la información por escrito de carácter integral donde figuren las protecciones administrativas, técnicas y físicas correspondientes destinadas a proteger la información personal perteneciente a Seagate de las amenazas o peligros anticipados contra su privacidad, confidencialidad o integridad (tales como el acceso no autorizado, la obtención, uso, copia, modificación, desecho o divulgación, de carácter ilícita y no autorizada, o la pérdida accidental, destrucción, adquisición o daño o cualquier otra forma de procesamiento no autorizado) (“programa de seguridad de la información”). El Programa de seguridad de la información incluirá los requisitos y medidas enumerados en las Normas de seguridad adjuntas como Anexo II.
    7. Restricciones para subprocesadores. El Proveedor podrá divulgar Información Personal perteneciente a Seagate a los Subprocesadores siempre y cuando sea necesario para cumplir con los servicios que le presta a Seagate, de acuerdo a las condiciones que se establecen en esta Sección 2.7. El Proveedor deberá llevar una lista de los Subprocesadores a los que divulga Información Personal perteneciente a Seagate y proporcionarle esta lista a Seagate según la empresa lo solicite. A partir de la fecha de entrada en vigor de los Contratos, si corresponde, se incluye una lista actualizada de los Subprocesadores de la Empresa en los Contratos o en cualquier otro documento proporcionado por la Empresa a Seagate y firmado por ambos. partes, estableciendo la lista de subprocesadores. El proveedor deberá notificar a Seagate en [email protected] con un mínimo de 30 días hábiles antes de agregar a un subprocesador a la lista. Si Seagate no se opone al subprocesador propuesto en 30 días hábiles de haber recibido la notificación, el subprocesador se considerará aprobado. Si Seagate se niega a que un subprocesador tenga acceso a información personal perteneciente a Seagate, entonces el proveedor no podrá divulgar dichos datos al subprocesador. Si en algún momento alguna de las partes determina que un subprocesador no brinda garantías suficientes de seguridad adecuadas al riesgo asociado con la información personal perteneciente a Seagate que se está procesando, Seagate podría, a su entera discreción, eliminar al subprocesador de la lista. En caso de que un subprocesador sea rechazado o eliminado por Seagate, al proveedor se le dará un período de tiempo razonable para remplazarlo. Si el proveedor no es capaz de prestar los servicios sin divulgar información personal perteneciente a Seagate al subprocesador rechazado, entonces Seagate podría cancelar los contratos aplicables entre las partes y sus filiales sin deberle costos ni obligaciones al proveedor.
    8. Cumplimiento e incumplimiento de subprocesadores. El uso de los subprocesadores por parte del proveedor no reduce su obligación de cumplir con este APD ni las leyes de protección de datos aplicables. El proveedor será responsable ante Seagate por la prestación de los servicios, las divulgaciones no autorizadas de la información y las infracciones de este APD y a las leyes de protección de los datos aplicables por sus subprocesadores en la misma medida que si el proveedor fuese su autor.
    9. Obligaciones del personal del proveedor y los subprocesadores. La Empresa se asegurará de que cualquier persona o Subprocesador que tenga acceso a la Información personal de Seagate celebre un acuerdo por escrito que contenga términos al menos tan restrictivos como los de este APD. El proveedor deberá asegurarse de que todas las obligaciones de privacidad y protección de los datos se mantengan después de que termine su procesamiento para efectos de los servicios a Seagate. Esta obligación continúa a perpetuidad, o bien, hasta que el proveedor haya certificado que toda la información personal perteneciente a Seagate se ha eliminado, destruido o es irrecuperable.
    10. Acceso limitado. La Empresa limitará el acceso a la Información Personal de Seagate únicamente al personal de la Empresa o a los subencargados que requieran dicho acceso para que la Empresa cumpla con sus obligaciones en virtud de cualquier Acuerdo celebrado entre las partes y/o sus Afiliadas, o por instrucción escrita de Seagate, y que (a) hayan recibido capacitación en materia de protección de datos y requisitos de seguridad, y (b) se hayan comprometido a cumplir con requisitos de confidencialidad de datos al menos tan restrictivos como los exigidos por Seagate, tanto durante como después del tratamiento de los datos para Seagate.
    11. Aviso de solicitudes o quejas. A menos que lo prohíba la ley, la Empresa deberá notificar a Seagate en [email protected] dentro de los 2 días hábiles posteriores a la recepción de cualquier solicitud o queja relacionada con el procesamiento de información personal de Seagate, lo que incluye:
      1. solicitudes de un titular de datos sobre transferencia de datos, solicitudes de acceso, cambio, borrado o restricción, o solicitudes de este tipo; o
      2. quejas o acusaciones de que el procesamiento infringe los derechos del titular de los datos.
    12. Respuestas de la empresa. El proveedor no deberá responder a ninguna solicitud o queja en virtud del apartado 2.11, a menos que Seagate le autorice explícitamente a hacerlo. El proveedor deberá cooperar con Seagate con respecto de cualquier medida que se tome en relación con una solicitud o queja, incluidas, entre otras, las solicitudes de eliminación. El proveedor deberá implementar los procesos apropiados (incluidas medidas de carácter técnico y organizativo) con el fin de ayudar a Seagate a responder las solicitudes o quejas, a menos que la ley lo prohíba.
    13. Solicitudes de divulgación. A menos que la ley lo prohíba, el proveedor deberá notificar a Seagate de inmediato si recibe algún documento en el que se solicite o se pretenda forzar la divulgación de información personal (como preguntas verbales, interrogatorios, solicitudes de información o documentos en procesos legales, órdenes de comparecencia, demandas de investigación civiles u otras solicitudes o procesos de este tipo; denominadas colectivamente como “solicitudes de divulgación”). Si una solicitud de divulgación no es obligatoria, el proveedor no deberá responder. Si una solicitud de divulgación es obligatoria, el proveedor, a menos que lo prohíba la ley, deberá notificar a Seagate con 48 horas de anticipación antes de responder, de modo que Seagate pueda ejercer los derechos a su haber para prevenir o limitar la divulgación. El proveedor deberá hacer un esfuerzo razonable por prevenir o limitar la divulgación de información y preservar la confidencialidad de la información personal. El proveedor deberá cooperar con Seagate con respecto a cualquier medida que se tome en respuesta a una solicitud de divulgación, lo que incluye cooperar para obtener una orden de protección adecuada u otro tipo de garantía a efectos de proteger la confidencialidad de la información personal.
    14. Cooperación. El proveedor deberá asistir a Seagate en el cumplimiento de sus obligaciones en virtud de las leyes de protección de datos relacionadas con: (a) el registro y notificación; (b) rendición de cuentas; (c) la seguridad de la información personal, y (d) la realización de análisis de impacto en términos de privacidad y protección de los datos y consultas relacionadas de las autoridades supervisoras.
    15. Participación en investigaciones de agencias de reglamentación. El proveedor deberá asistir y apoyar a Seagate en cualquier investigación realizada por una autoridad supervisora, en la medida en que la investigación se relacione con información personal perteneciente a Seagate procesada por el proveedor o un subprocesador de este.
    16. Aviso de posible incumplimiento o incapacidad de cumplimiento. El proveedor deberá notificar a Seagate de inmediato si se dan las siguientes circunstancias:
      1. el proveedor tiene motivos para creer que las instrucciones de Seagate respecto al procesamiento de información personal perteneciente a Seagate podría incurrir en el incumplimiento de las leyes vigentes;
      2. el proveedor tiene motivos para creer que no es capaz de cumplir ninguna de sus obligaciones en virtud de este APD o las leyes de protección de datos, y no puede remediar la incapacidad de cumplimiento en un plazo de tiempo razonable, o
      3. el proveedor toma conocimiento de circunstancias o cambios en las leyes vigentes que probablemente prevendrían el cumplimiento de sus obligaciones en virtud de este APD.
    17. Suspensión o ajustes para fines de cumplimiento. Seagate podrá suspender el procesamiento de información personal perteneciente a Seagate por parte del proveedor o subprocesador a fin de prevenir posibles infracciones o incumplimiento de las leyes aplicables, este APD, o los acuerdos correspondientes entre las partes o sus filiales relacionados con la privacidad o la protección de los datos. El proveedor deberá cooperar con Seagate para ajustar las actividades de procesamiento con el fin de remediar cualquier posible infracción o incumplimiento. Si no es posible realizar ajustes, Seagate podría cancelar los acuerdos correspondientes entre las partes o sus filiales, sin que se le deban costos ni obligaciones al proveedor.
  3. TRANSFERENCIAS DE DATOS
    1. Cláusulas estándar del Espacio Económico Europeo, Reino Unido y Suiza.
      1. Las partes acuerdan que cuando la transferencia de Información personal de Seagate de Seagate a la Empresa sea una Transferencia restringida, estará sujeta a las Cláusulas estándar correspondientes, que se incorporan automáticamente por referencia y forman parte integral de este APD como se establece a continuación:
        1. en relación con la información personal de Seagate que está protegida por el RGPD de la UE, las SCC de la UE se aplicarán de la siguiente manera:
          1. Seagate será el exportador de datos y la Empresa será el importador de datos;
          2. Se aplicará el módulo dos (C2P);
          3. en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional;
          4. en la Cláusula 9 del Módulo Dos (C2P), se aplicará la Opción 2, y el período de tiempo para la notificación previa de los cambios del Subprocesador será el establecido en la Sección 7 de este APD;
          5. en la Cláusula 11, el lenguaje opcional no se aplicará
          6. en la Cláusula 17;
            1. para el módulo dos (C2P), se aplicará la opción 1, y
            2. las SCC de la UE se regirán por la legislación irlandesa;
          7. en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;
          8. El Anexo I de las SCC de la UE se considerará completado con la información establecida en el Anexo I de este APD; y
          9. El Anexo I de las SCC de la UE se considerará completado con la información establecida en el Anexo I de este APD; y
        2. En relación con los datos que están protegidos por el RGPD del Reino Unido, las SCC de la UE: (i) se aplicarán tal como se completan de acuerdo con el párrafo (1) anterior; y (ii) se considerarán modificados según lo especificado por el Anexo del Reino Unido, que se considerará ejecutado por las partes e incorporado y formará parte integral de este APD. Cualquier conflicto entre los términos de las CEC de la UE y el Anexo del Reino Unido se resolverá de acuerdo con la Sección 10 y la Sección 11 del Anexo del Reino Unido. Además, las tablas 1 a 3 de la Parte 1 del Anexo del Reino Unido se completarán respectivamente con la información establecida en el Anexo I y II de este APD y la tabla 4 de la Parte 1 se considerará completada si no se selecciona ninguna de las partes.
        3. En relación con la información personal de Seagate que está protegida por el APD suizo, se aplicarán las SCC de la UE implementadas de acuerdo con el párrafo (1) anterior siempre que:
          1. las referencias en las SCC de la UE al Reglamento (UE) 2016/679 o al RGPD se interpretarán como referencias a la Ley federal suiza de protección de datos (FADP);
          2. las referencias a la legislación de la UE, de la Unión y de los Estados miembros se interpretarán como referencias a Suiza y a la legislación suiza, según sea el caso;
          3. el término "estado miembro” no se interpretará de manera que excluya a los interesados en Suiza de la posibilidad de demandar por sus derechos en su lugar de residencia habitual (Suiza);
          4. las cláusulas SCC de la UE deben interpretarse como la protección de los datos de las personas jurídicas hasta la entrada en vigor de la FADP revisada; y
          5. las referencias a la autoridad supervisora competente y los tribunales competentes se interpretarán como referencias al Comisionado Federal de Protección de Datos e Información de Suiza (FDPIC) y los tribunales competentes en Suiza.
        4. En caso de que alguna disposición de este APD o de los Contratos contradiga, directa o indirectamente, las Cláusulas estándar, prevalecerán las Cláusulas estándar.
        5. El proveedor deberá asegurarse de que sus subprocesadores también se rijan por las cláusulas normativas, según corresponda.
      2. Mecanismos de transferencia alternativos: En la medida en que la Empresa adopte un mecanismo de exportación de datos alternativo no descrito en este APD (incluida cualquier nueva versión o sucesora de las Cláusulas estándar adoptadas de conformidad con la Ley europea de protección de datos aplicable) para la transferencia de Datos personales (Mecanismo de transferencia alternativo), el Mecanismo de transferencia alternativo se aplicará en lugar de cualquier mecanismo de transferencia aplicable descrito en este APD (pero solo en la medida en que dicho Mecanismo de transferencia alternativo (i) cumpla con la Ley europea de protección de datos, (ii) se extienda a los territorios a los que se transfieren los datos personales, y (iii) cumple con las consideraciones de notificación a continuación) y (iv) la Compañía ejecuta los demás documentos y toma las demás acciones que sean razonablemente necesarias para dar efecto legal a dicho Mecanismo de transferencia alternativo. Además, si y en la medida en que un tribunal de jurisdicción competente o una autoridad de supervisión con autoridad vinculante ordene o determine (por cualquier motivo) que no se puede confiar en las medidas descritas en este APD para transferir legalmente dicha Información personal de Seagate, Seagate reconoce y acepta que, sujeto a las consideraciones de notificación que se describen a continuación, la Empresa puede implementar cualquier medida o protección adicional que pueda ser razonablemente necesaria para permitir la transferencia legal de dicha Información personal de Seagate. Las consideraciones de notificación requieren que la Empresa notifique a Seagate en [email protected] al menos 30 días hábiles antes de implementar Mecanismos de transferencia alternativos o cualquier medida adicional. Si Seagate no se opone al Mecanismo de transferencia alternativo propuesto o a las medidas adicionales dentro de los 30 días hábiles posteriores a la recepción de la notificación, se considerará que el Mecanismo de transferencia alternativo o las medidas han sido aprobados. Si Seagate se opone a dicho Mecanismo de transferencia alternativo o medidas adicionales, la Empresa no utilizará dichos Mecanismos de transferencia alternativos ni ninguna medida adicional. En caso de que Seagate se oponga a un Mecanismo de transferencia alternativo o a una medida adicional, Seagate, a su entera discreción, podrá rescindir cualquier Acuerdo aplicable entre las partes y/o sus Filiales sin coste ni responsabilidad para la Empresa.
      3. Transferencias fuera de países con requisitos de exportación de datos. Si alguna Ley de protección de datos requiere que se tomen medidas adicionales en relación con cualquier restricción de exportación de datos aplicable para permitir la transferencia de Información personal de Seagate a la Empresa (incluidos sus subprocesadores), la Empresa cumplirá con dichos requisitos de protección de datos, incluida la adquisición de los consentimientos o ejecutar cualquier acuerdo de transferencia de datos aplicable (por ejemplo, cláusulas contractuales estándar) o una solución alternativa para garantizar que se implementen las garantías adecuadas para dicha transferencia.
    2. Disposiciones sobre otras jurisdicciones. En los casos aplicables, el proveedor deberá cumplir los Requisitos para jurisdicciones específicas, adjuntos en el Anexo.
  4. CUMPLIMIENTO Y RENDICIÓN DE CUENTAS
    1. Cumplimiento. El proveedor deberá asegurarse de que el procesamiento de información personal perteneciente a Seagate realizado por el proveedor y sus subprocesadores cumpla con todas las leyes vigentes, los marcos reglamentarios autónomos y los requisitos del contrato aplicables al proveedor y subprocesador. El proveedor deberá revisar las prácticas del proveedor y del subprocesador cada año con el fin de asegurar el cumplimiento con este APD y con las leyes pertinentes. El proveedor deberá cooperar, por cuenta propia, con las solicitudes de Seagate de que el proveedor demuestre que está cumpliendo con los términos de protección y seguridad de los datos que se establecen en este APD.
    2. Registros de las actividades de procesamiento. El proveedor deberá mantener un registro actualizado de los detalles del representante del proveedor y funcionario encargado de la protección de los datos, las categorías de actividades de procesamiento, una descripción general de las medidas seguridad implementadas respecto de los datos procesados, el nombre, contacto y detalles de procesamiento de cada subprocesador de información personal perteneciente a Seagate y, en los casos aplicables, del representante y funcionario de protección de datos del subprocesador. Previa solicitud, la Empresa proporcionará una copia histórica y actual de este registro a Seagate o a la Autoridad de supervisión si así lo solicita.
    3. Auditorías. Por solicitud escrita, el proveedor deberá poner a disposición de Seagate toda la información necesaria para demostrar su cumplimiento con este APD, y deberá permitir y contribuir con las auditorías, incluidas las inspecciones del sitio, por parte de Seagate o un auditor externo independiente asignado por Seagate en relación con el procesamiento de información personal perteneciente a Seagate. Se requerirá que el auditor externo independiente formalice un acuerdo de no divulgación con las partes. El proveedor deberá corregir cualquier incumplimiento dentro de un plazo de tiempo razonable. Si no es posible realizar ajustes, Seagate podría cancelar los acuerdos correspondientes entre las partes o sus filiales, sin que se le deban costos ni obligaciones al proveedor.
  5. RESPONSABILIDADES DEL PROVEEDOR DESPUÉS DE UNA INFRACCIÓN DE LA PRIVACIDAD DE LOS DATOS
    1. Notificación de una infracción de la privacidad de los datos. La Empresa notificará por escrito a Seagate sobre una violación de privacidad de datos conocida o sospechada de forma inmediata y, en cualquier caso, dentro de las 24 horas siguientes a tener conocimiento de la posible violación, y deberá de inmediato:
      1. notificar a Seagate de la infracción de la privacidad de los datos escribiendo a [email protected];
      2. investigar o proporcionar la asistencia requerida en la investigación de la infracción a la privacidad de los datos;
      3. suministrarle a Seagate información detallada sobre la infracción de la privacidad de los datos, lo que incluye, sin tratarse de una lista exhaustiva, las categorías, ubicación y número aproximado de titulares de los datos afectados y las categorías, ubicación y número aproximado de expedientes de información personal perteneciente a Seagate, y continuar suministrándole información adicional sin demora a Seagate acerca de la infracción de la privacidad de datos a medida que esté disponible;
      4. tomar todas las medidas razonables desde el punto de vista comercial con el fin de mitigar los efectos de la infracción de la privacidad de los datos, o asistir a Seagate en hacerlo; e
      5. implementar un plan de reparación, sujeto a la aprobación de Seagate, y llevar un seguimiento de la resolución de las infracciones de la privacidad de los datos y debilidades relacionadas con la información personal perteneciente a Seagate a fin de garantizar que se tomen medidas correctivas de forma oportuna.
    2. Contención y resolución. El proveedor deberá tomar medidas de contención y resolución de la infracción de la privacidad de los datos y prevenir que vuelva suceder una infracción de la privacidad de los datos; además, el proveedor deberá tomar todas las medidas necesarias para cumplir con las leyes de protección de los datos y normas de la industria aplicables con el fin de contener y solucionar la infracción de la privacidad de los datos.
    3. Comunicaciones. El proveedor no deberá emitir ningún tipo de comunicación relacionada con una infracción de la privacidad de los datos de ninguna manera que permita identificar, o que pudiera razonablemente permitir identificar o revelar la identidad de Seagate sin su previa autorización.
    4. Preservación de pruebas. El proveedor deberá gestionar un plan de respuesta a incidentes. Tras la detección de una infracción de seguridad, el proveedor deberá conservar las pruebas relacionadas con la infracción y contar con una jerarquía de comando clara en virtud de un plan de respuesta a incidentes.
    5. Cooperación. El proveedor deberá cooperar con Seagate en cualquier litigio, investigación o causa en la que se ampare Seagate con el fin de proteger sus derechos respecto al uso, divulgación, protección y posesión de información personal perteneciente a Seagate. El proveedor acuerda además brindar la asistencia y cooperación razonables solicitadas por Seagate o los representantes designados de Seagate, a efectos de continuar con las correcciones, resoluciones o investigación de la infracción de la privacidad de los datos o la mitigación de los daños potenciales; esto incluye las notificaciones que Seagate estime pertinente enviar a los titulares de datos afectados, reguladores o terceros, o la prestación de un servicio de informes de crédito que Seagate juzgue adecuado proporcionar a los titulares de datos afectados. El proveedor será responsable de los gastos razonables incurridos por Seagate relacionados con la infracción de la privacidad de los datos; esto incluye, sin tratarse de una lista exhaustiva, resolución y notificación.
  6. DEVOLUCIÓN Y BORRADO SEGURO DE INFORMACIÓN PERSONAL PERTENECIENTE A SEAGATE
    1. Integridad de los datos. El proveedor deberá cumplir con todas las instrucciones de Seagate para preservar la integridad de los datos; esto incluye: (a) deshacerse de la información personal perteneciente a Seagate en posesión del proveedor pero que ya no le sea necesaria para prestar los servicios; (b) asegurarse de que la información personal perteneciente a Seagate creada por el proveedor en nombre de Seagate sea correcta y se mantenga vigente, y (c) a solicitud de Seagate, permitir que Seagate tenga acceso a cualquier Información personal de Seagate todo ello de conformidad con las leyes pertinentes.
    2. Devolución y borrado de información personal perteneciente a Seagate. Ante una (a) solicitud de Seagate o (b) el vencimiento o terminación del acuerdo antes del plazo entre las partes o sus filiales en relación con el procesamiento de información personal perteneciente a Seagate, lo que suceda primero, bajo la dirección de Seagate, el proveedor deberá exportar toda la información personal perteneciente a Seagate, o le proporcionará a Seagate o a su designado externo la capacidad de exportar toda la información personal perteneciente a Seagate en una máquina que tenga un formato legible e interoperable designada por Seagate, y les solicitará a sus subprocesadores que hagan lo propio. El proveedor deberá conservar la información personal perteneciente a Seagate durante el tiempo que Seagate determine razonablemente necesario para permitirle acceder a la información personal perteneciente a Seagate y exportar dicha información sin costo para Seagate. Cada parte deberá identificar a una persona de contacto para transferir la información personal perteneciente a Seagate, y tomar medidas de forma puntual, diligente y de buena fe para facilitar una transferencia oportuna. En un plazo de 90 días después de que Seagate (a) confirme que la información personal perteneciente a Seagate se recibió y transfirió correctamente o (b) le informe al proveedor de su decisión de no transferir la información personal perteneciente a Seagate, el proveedor y sus subprocesadores deberán destruir toda la información personal perteneciente a Seagate de manera segura y sobrescribirla con datos nuevos, o destruir la información personal perteneciente a Seagate de otro modo mediante un método de higienización aprobado.
    3. Destrucción de información personal perteneciente a Seagate. Si la Empresa se deshace de cualquier registro en papel, electrónico o de otro tipo que contenga Información personal de Seagate, lo hará tomando todas las medidas razonables (en función de la confidencialidad de la Información personal de Seagate) para destruir la Información personal de Seagate, a menos que la conservación de la Información personal de Seagate sea requerido por las leyes de protección de datos por: (a) la trituración; (b) el borrado y la eliminación permanentes; (c) la desmagnetización, o (d) cualquier otra modificación de la Información Personal perteneciente a Seagate en dichos registros para que no se puedan leer, reconstruir ni descifrar. Si el Proveedor desactiva o retira una unidad de disco duro que contenga una copia de la Información personal perteneciente a Seagate, el Proveedor triturará o destruirá de manera segura la unidad, lo que hará que la Información personal perteneciente a Seagate sea ilegible y se destruya de acuerdo con NIST 800-88, revisión 1. El proveedor deberá certificar por escrito que la unidad se ha triturado o destruido y que información personal perteneciente a Seagate no puede leerse, recuperarse ni reconstruirse de ningún modo.
    4. Aviso de archivado. Si el proveedor tiene la obligación legal de conservar información personal perteneciente a Seagate fuera del período estipulado en este APD, el proveedor deberá notificar a Seagate por escrito de dicha obligación, no procesará más la Información personal perteneciente a Seagate más allá de retener dicha información para cumplir la obligación legal del proveedor y devolver o destruir la información personal perteneciente a Seagate tan pronto culmine el período de archivado. Este APD permanecerá en vigor hasta que el proveedor haya dejado de tener custodia o control de información personal perteneciente a Seagate, o acceso a esta.
    5. Documentos. El Proveedor deberá documentar el archivado o desecho de Información Personal perteneciente a Seagate conforme a lo dispuesto en este APD. Por solicitud de Seagate, el proveedor deberá suministrar documentación de archivado y certificación escrita de que la información personal perteneciente a Seagate se ha destruido de manera segura de conformidad con este APD.
  7. DISPOSICIONES GENERALES
    1. Término. Este APD permanecerá en vigor hasta que (i) no haya ningún otro acuerdo activo entre las partes y (ii) el proveedor haya dejado de tener custodia o control de información personal perteneciente a Seagate o acceso a esta. La Empresa procesará la Información personal de Seagate hasta que la relación finalice como se especifica en el Acuerdo. Las obligaciones de la Empresa y los derechos de Seagate en virtud de este APD seguirán vigentes mientras la Empresa Procese Información Personal de Seagate.
    2. Orden de precedencia. En caso de discrepancias entre este APD y cualquier Acuerdo entre las partes o sus Afiliados, prevalecerán las disposiciones de este APD, excepto por cualquier discrepancia relacionada con el Anexo II (Normas de seguridad), en cuyo caso los otros Acuerdos prevalecerán, en la medida en que los estándares de seguridad en los otros Acuerdos sean adicionales a los requisitos mínimos establecidos en el Anexo II. Este APD no tiene carácter limitante ni restrictivo respecto de las Cláusulas normativas, sino que se entiende que las complementa.
    3. Actualizaciones. La Empresa cooperará razonablemente para actualizar este APD según sea necesario para garantizar el cumplimiento de las leyes y regulaciones aplicables.
    4. Beneficiarios externos. Las filiales de Seagate son beneficiarias intencionales de este APD; por consiguiente, estas pueden hacer cumplir los términos del mismo de la misma forma que si fueran signatarios del acuerdo. Seagate también podrá aplicar las disposiciones de este APD en nombre de sus filiales, en lugar de que las filiales entablen una causa en contra del proveedor.
    5. Divulgación del APD a una autoridad supervisora. Seagate podría suministrar un resumen o una copia de este APD a una autoridad supervisora.
    6. Integridad del acuerdo. Si alguna disposición en este APD pierde vigor o adquiere nulidad, ello no afectará las disposiciones restantes. Las partes deberán reemplazar la disposición inefectiva o nula con una disposición lícita que refleje la finalidad de la disposición inefectiva o nula. En caso de que falte una disposición necesaria, las partes agregarán una disposición correspondiente de buena fe.
    7. Interpretación. Los títulos del presente APD son para fines de referencia exclusivamente y no deberán incidir en la interpretación del acuerdo.

ANEXO I

DESCRIPCIÓN DEL PROCESAMIENTO DE DATOS

 

Este Anexo I forma parte de las Cláusulas estándar.

 

MÓDULO DOS: Transferencia: del controlador al procesador (relevante para la información personal de Seagate) (C2P)

 

    A. LISTA DE PARTES

     

    EXPORTADOR DE DATOS

    Nombre y dirección

    Firma de Seagate Technology LLC en nombre de las filiales y subsidiarias 47488 Kato Road, Fremont, CA, 94538

    Nombre y datos de contacto de la persona de contacto

    Firma de Seagate Technology LLC en nombre de las filiales y subsidiarias 47488 Kato Road, Fremont, CA, 94538

    Actividades relevantes para los datos transferidos en virtud de estas Cláusulas estándar

    Seagate Technology LLC, que firma en nombre de las filiales y subsidiarias, es un proveedor de productos de hardware y soluciones y servicios de software para respaldar los procesos comerciales de varios segmentos de la industria.

    Firma y fecha:

    Al celebrar los Acuerdos que incorporan este APD, se considera que el exportador de datos ha firmado estas Cláusulas estándar incorporadas en este documento, incluidos sus Anexos, a partir de la fecha de entrada en vigor de los Acuerdos.

     

    Rol del exportador de datos (controlador/procesador):

    Establecido en la Sección 2.1 (Estado de las partes) de este APD.

    IMPORTADOR DE DATOS

    Nombre y dirección

    Nombre y dirección de la empresa (según se especifica en los Contratos)

     

    Nombre y datos de contacto de la persona de contacto

    Nombre y dirección de la empresa (según se especifica en los Contratos)

     

    Actividades relevantes para los datos transferidos en virtud de estas Cláusulas estándar

     

    La Empresa es un proveedor de servicios que proporciona servicios y soporte al exportador de datos, tal como se describe en los Contratos.

     

    Firma y fecha:

    Al celebrar los Acuerdos que incorporan este APD, se considera que el exportador de datos ha firmado estas Cláusulas estándar incorporadas en este documento, incluidos sus Anexos, a partir de la fecha de entrada en vigor de los Acuerdos.

     

    Rol de importador de datos

    Establecido en la Sección 2.1 (Estado de las partes) de este APD.

     

    B. DESCRIPCIÓN DE LA TRANSFERENCIA

     

    Ca

    tegorías de los interesados

    Los datos personales transferidos pueden referirse a las siguientes categorías de interesados:

    - pasado y presente:

    o empleados, asesores, consultores, proveedores, contratistas, subcontratistas y agentes de Seagate;

    o socios comerciales y posibles socios comerciales de Seagate, y sus empleados, socios, asesores, consultores, proveedores, contratistas, subcontratistas y agentes;

    o posibles clientes potenciales de marketing y consumidores actuales y pasados;

    o socios comerciales y posibles socios comerciales de Seagate, y sus empleados, socios, asesores, consultores, proveedores, contratistas, subcontratistas y agentes;

     

    Categorías de datos personales transferidos

    Datos personales proporcionados por Seagate o en nombre de Seagate a la Empresa, o recopilados por la Empresa, que se relacionen con las Categorías de interesados establecidas anteriormente, según sea necesario para que la Empresa proporcione los Servicios a Seagate en virtud de los Acuerdos y de acuerdo con las instrucciones legales documentadas de Seagate, que pueden incluir información de contacto, como nombre, apellidos, dirección de correo electrónico, dirección comercial, número de teléfono y cualquier otro dato personal proporcionado por Seagate.

     

    Datos confidenciales transferidos (si corresponde) y restricciones o medidas de seguridad aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos involucrados**

     

    Tal como se establece en los Acuerdos

    Frecuencia de la transferencia

    Continuo, a menos que se establezca lo contrario en los Acuerdos o en un documento entre las partes.

    Naturaleza del procesamiento/actividades de procesamiento

    Como se describe en los Contratos.

    Propósito de la transferencia y el procesamiento de datos

     

    Proporcionar los Servicios en virtud de los Acuerdos pertinentes.

     

    Período durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar ese período

    Los datos personales se conservarán:

    (a) de acuerdo con la Sección 6.2 de este APD (Devolución y eliminación de información personal perteneciente a Seagate); o

    (b) según lo exija la ley; o

    (c) o por la duración establecida en los Acuerdos u otro documento entre las partes que contenga la información relevante aplicable a los Servicios relevantes;

    el que sea más largo.

     

    Si se transfiere a subprocesadores, especifique también el objeto, la naturaleza y la duración del procesamiento.

    La Empresa deberá proporcionar el objeto, la naturaleza y la duración del procesamiento para las transferencias a los subprocesadores para [email protected] si esta información no está ya establecida en los Acuerdos o en un documento adicional acordado entre las partes.

     

    C. AUTORIDAD DE SUPERVISIÓN COMPETENTE

     

    La autoridad de control competente, de acuerdo con la Cláusula 13 de las SCC de la UE, es (i) la autoridad de control aplicable al exportador de datos en su país del EEE de establecimiento o, (ii) cuando el exportador de datos no está establecido en el EEE, la autoridad de supervisión aplicable en el país del EEE donde se haya designado el representante en la UE del exportador de datos de conformidad con el artículo 27(1) del RGPD de la UE, o (iii) cuando el exportador de datos no esté obligado a nombrar un representante, la autoridad de supervisión aplicable a el país del EEE donde se encuentran los interesados relevantes para la transferencia. Con respecto al procesamiento de datos personales al que se aplica el RGPD del Reino Unido, la autoridad de supervisión competente es la Oficina del Comisionado de Información (el "ICO"). Con respecto al procesamiento de datos personales al que se aplica el APD suizo, la autoridad de supervisión competente es el Comisionado federal suizo de protección de datos e información.

     

Anexo II

NORMAS DE SEGURIDAD

 

Este Anexo I forma parte de las Cláusulas estándar.

 

Este Anexo II representa las medidas mínimas de seguridad que tomará la Empresa. Si algún acuerdo entre las partes requiere que el proveedor tenga un nivel mayor o medidas de seguridad más abarcadoras, el proveedor deberá regirse por esos términos. El proveedor deberá implementar y hacer cumplir diversas políticas, normas y procesos a efectos de proteger la información personal perteneciente a Seagate y otros datos conforme las normas de la industria; por ejemplo, el Marco de Ciberseguridad NIST y las normas 27001 o 27002 de la ISO, a los cuales se da acceso a los empleados del proveedor.

 

  1. Políticas y normas de seguridad de la información. El proveedor deberá implementar requisitos de seguridad para su personal y todos los subcontratistas, proveedores o agentes que tengan acceso a información personal perteneciente a Seagate, con miras a:
    1. prevenir que personas no autorizadas tengan acceso a sistemas de procesamiento de la información personal perteneciente a Seagate (control del acceso físico);
    2. prevenir que los sistemas de procesamiento de información personal perteneciente a Seagate se utilicen sin autorización (control del acceso lógico);
    3. garantizar que las personas con derecho a usar un sistema de procesamiento de información personal perteneciente a Seagate solo puedan obtener acceso a las partes de dicha información a cuyo acceso tengan derecho, de conformidad con sus derechos de acceso aprobados, y que, durante el desarrollo de las actividades de procesamiento o uso y almacenamiento posterior de la información personal perteneciente a Seagate, esta no pueda leerse, copiarse, modificarse ni borrarse sin autorización (control del acceso a los datos);
    4. garantizar que la información personal perteneciente a Seagate no pueda leerse, copiarse, modificarse ni borrarse sin autorización durante su transmisión electrónica, transporte o almacenamiento, y que las entidades a las que está destinada la transferencia de información personal perteneciente a Seagate por medio de establecimientos de transmisión de datos puedan identificarse y verificarse (control de la transferencia de datos);
    5. garantizar que se establezca un rastro documental para fines de auditoría a efectos de documentar si ha habido accesos, modificaciones, transferencias o borrados de información personal perteneciente a Seagate en el procesamiento de dicha información y quién los ha realizado (control de acceso);
    6. garantizar que la información personal perteneciente a Seagate se procese únicamente conforme a las instrucciones (control de las instrucciones);
    7. garantizar que la información personal perteneciente a Seagate esté protegida de la destrucción o pérdida accidental (control de la disponibilidad), y
    8. garantizar que la información personal perteneciente a Seagate recopilada para distintos fines pueda procesarse de forma individual (control de la separación).

    El proveedor deberá realizar valoraciones y revisiones de riesgos periódicas y, conforme resulte pertinente, modificar sus prácticas de seguridad de la información como mínimo una vez al año o cuando se produzcan cambios significativos en las prácticas comerciales del proveedor que podrían incidir en una medida razonable en la seguridad, la confidencialidad o la integridad de la información personal perteneciente a Seagate, siempre y cuando el proveedor no modifique sus prácticas de seguridad de la información de un modo que socave o comprometa la confidencialidad, disponibilidad o integridad de la información personal perteneciente a Seagate.

  2. Seguridad Física. El proveedor deberá establecer sistemas de seguridad comercialmente razonables en sus establecimientos donde se ubique un sistema de información en el cual se utilice o almacene información personal perteneciente a Seagate. El proveedor deberá restringir el acceso de modo razonable a dicha información personal perteneciente a Seagate conforme corresponda.
  3. Seguridad organizacional.
    1. A la hora de desechar soportes o reutilizarse, deberán implementarse procedimientos destinados a prevenir la recuperación posterior de la información personal perteneciente a Seagate que esté almacenada en ellos antes de que se retiren del inventario. Cuando un soporte deba salir de los predios donde se encuentran los archivos por operaciones de mantenimiento, deberán implementarse procedimientos a fin de prevenir la recuperación indebida de información personal perteneciente a Seagate guardada en el soporte.
    2. El proveedor deberá implementar políticas y procedimientos de seguridad a efectos de clasificar los activos de información, aclarar las responsabilidades de seguridad y promover la toma de conciencia entre los empleados.
    3. Todos los incidentes de seguridad con información personal perteneciente a Seagate deberán gestionarse de conformidad con los procedimientos de respuesta a incidentes adecuados.
    4. El proveedor deberá cifrar toda la información confidencial durante su tránsito y en reposo por medio de herramientas de cifrado normativas de la industria.
  4. Seguridad de la Red. El proveedor deberá mantener la seguridad de la red por medio de equipo disponible en el mercado y técnicas normativas de la industria, tales como cortafuegos, sistemas de detección y prevención de intrusiones, listas de control de acceso y protocolos de enrutamiento.
  5. Control de acceso. El proveedor deberá establecer controles de acceso adecuados; esto incluye, a modo de ejemplo, restricción del acceso a la información personal perteneciente a Seagate a un número mínimo de personal del proveedor que necesite tener acceso.
    1. Solo personal autorizado podrá otorgar, modificar o revocar el acceso a un sistema de información en el que se use o almacene información personal perteneciente a Seagate. El proveedor deberá mantener registros de acceso adecuados, los cuales deberá suministrar a Seagate si Seagate lo solicita.
    2. Los procedimientos de administración de usuarios deberán definir los roles de usuarios y sus privilegios, así como la forma de otorgar, cambiar y anular el acceso; abordar la segregación de deberes correspondientes y definir los requisitos y mecanismos de registro y control.
    3. A todos los empleados del proveedor se les deberá asignar identificaciones de usuarios individuales.
    4. Los derechos de acceso deben implementarse de conformidad con la técnica de “privilegio mínimo”.
    5. El proveedor deberá implementar medidas de seguridad física y electrónica comercialmente razonables para la creación y protección de contraseñas.
  6. Controles contra virus y programas maliciosos. El proveedor deberá instalar y mantener en el sistema el software de protección antivirus y contra programas maliciosos (“malware”) más reciente y contar con medidas de supervisión de programas maliciosos y análisis del sistema en fechas programadas a fin de proteger la información personal perteneciente a Seagate de las amenazas o peligros anticipados y proteger dicha información personal del acceso o uso no autorizado.
  7. Personal. Antes de proporcionar acceso a información personal perteneciente a Seagate al personal del proveedor, el proveedor debe exigirle a su personal que cumpla con el programa de seguridad de la información del proveedor. El proveedor deberá implementar un programa de toma de conciencia sobre medidas de seguridad a fin de capacitar al personal acerca de sus obligaciones de seguridad. Este programa incluirá capacitación acerca de las obligaciones de clasificación de los datos, los controles de seguridad física, las prácticas de seguridad y los informes de incidentes de seguridad. El proveedor deberá tener roles y responsabilidades claramente definidos para sus empleados. Deberán implementarse medidas de preselección antes de dar empleo y deberán aplicarse los términos y condiciones de empleo debidamente. Los empleados del proveedor deberán regirse estrictamente por las políticas y procedimientos de privacidad. Deberá aplicarse un proceso disciplinario si los empleados cometen una infracción a la privacidad de los datos.
  8. Continuidad del negocio. El proveedor deberá implementar planes adecuados para copias de seguridad y recuperación ante desastres, así como de reanudación de las actividades comerciales. El proveedor deberá revisar el plan de continuidad comercial y las valoraciones de riesgos de forma regular. Se deberán probar y actualizar los planes de continuidad comercial de manera periódica a fin de garantizar que estén al día y sean eficaces.
  9. Gestor de seguridad primario. El proveedor deberá notificar a Seagate de su gestor de seguridad primario designado. El gestor de seguridad será responsable de gestionar y coordinar el desempeño de las obligaciones del proveedor estipuladas en su programa de seguridad y en este APD
  10. Auditorías. Seagate se reserva el derecho de auditar los compromisos de la Empresa tal como se establece en este Anexo II, de acuerdo con la sección 4.4 "Auditoría” de este APD.
  11. Infracciones. Si se determina que el proveedor ha infringido este APD, el proveedor deberá remediar la infracción sin retrasos indebidos, y en todo caso en un período de 30 días naturales. Las infracciones a la privacidad de los datos establecidas o sospechadas deberán regirse por lo dispuesto en el apartado 5. “Responsabilidades del proveedor después de una infracción a la privacidad de los datos” de este APD

 

Anexo III

REQUISITOS DE LA PRIVACIDAD DE LOS DATOS PARA JURISDICCIONES ESPECÍFICAS

 

Los siguientes requisitos se aplican a las jurisdicciones indicadas:

 

  1. AUSTRALIA
    1. Aplicabilidad. Las disposiciones de este apartado 1 se aplican donde (a) el proveedor reciba o acceda a información personal perteneciente a Seagate desde una filial ubicada en Australia o (b) Seagate le notifique al proveedor que la información personal perteneciente a Seagate está sujeta a estos requisitos.
    2. Afiliación a asociación profesional o vocacional. El término “información confidencial” también incluye información personal acerca de la afiliación de la persona a una asociación profesional o vocacional.
    3. Principios de Privacidad de Australia. El proveedor deberá cumplir con las obligaciones aplicables en virtud de la Ley de Privacidad de 1988 (Cth), incluidos los Principios de Privacidad de Australia, en el manejo de información personal perteneciente a Seagate o en la prestación de los servicios de conformidad con este APD.
    4. Aviso de uso o divulgación para fines de ejecución de las leyes. Si el proveedor utiliza o divulga información personal para efectos de una o más actividades de ejecución de las leyes realizada por o en nombre de un organismo reglamentario, el proveedor deberá conservar un expediente escrito del uso y divulgación y suministrarle una copia de dicho expediente a Seagate lo más pronto posible, a menos que la ley lo prohíba.
    5. Identificadores relacionados con el gobierno australiano. En caso de que la información personal incluya identificadores relacionados con el gobierno australiano, el proveedor: (a) no deberá adoptar el identificador relacionado con el gobierno australiano en el caso de un particular como el identificador del particular, a menos que Seagate le instruya explícitamente que lo haga y (b) no deberá utilizar ni divulgar el identificador relacionado con el gobierno australiano, excepto si es razonablemente necesario para verificar la identidad del particular o si Seagate le instruye que lo haga.
    6. Recopilación de Información personal. Cuando las instrucciones de Seagate al proveedor requieran que este recopile información personal en nombre de Seagate, el proveedor debe (a) pedir instrucciones a Seagate respecto de (i) la información que debe proporcionarse al titular de los datos respecto de la obtención de información personal que le corresponde a dicho titular; y (ii) los consentimientos de inclusión requeridos para fines de mercadeo directo; y (b) abstenerse de recopilar información confidencial o sin el consentimiento del titular de los datos.
    7. Acuerdos del proveedor con el gobierno australiano. Si Seagate es un prestador de servicios contratado por una entidad gubernamental australiana a nivel federal, estatal o territorial, y en la medida en que Seagate esté obligado a cumplir con obligaciones adicionales de protección de los datos en virtud de un acuerdo con la entidad gubernamental pertinente, Seagate impondrá obligaciones equivalentes al proveedor, conforme lo exijan las leyes australianas aplicables. En caso de ser necesario, Seagate y el proveedor acuerdan formalizar acuerdos adicionales a efectos de reflejar dichas obligaciones.
  2. CHINA
    1. Aplicabilidad. Las disposiciones de este apartado 2 se aplican donde (a) el proveedor reciba o acceda a información personal perteneciente a Seagate desde una filial ubicada en Australia o (b) Seagate le notifique al proveedor que la información personal perteneciente a Seagate está sujeta a estos requisitos.
    2. Roles de PIPL. En virtud de la Ley de Protección de Información Personal de la República Popular China (PIPL, por sus siglas en inglés), Seagate desempeñará el papel de Procesador de Información Personal, quien decidirá los propósitos y las formas del Procesamiento. La Empresa será la Parte encargada que procesará la Información personal en nombre de Seagate de acuerdo con los requisitos de este APD y las instrucciones de Seagate.
    3. Subprocesadores. Sin perjuicio de la Sección 2.4 del APD, la Empresa no contratará a ningún subprocesador para procesar información personal de Seagate sin el consentimiento expreso de Seagate. Los términos de dicho consentimiento están sujetos a la Sección 2.5 del APD.
    4. Tiempo de procesamiento limitado. El proveedor deberá procesar la información personal perteneciente a Seagate solo por el periodo de tiempo necesario para lograr los fines del procesamiento, a menos que las partes hayan acordado un plazo distinto.
    5. Transferencias restringidas. La Empresa no transferirá Información personal de Seagate fuera de China sin el consentimiento expreso de Seagate si la Información personal de Seagate se almacena o conserva en China. Por la presente, Seagate otorga su consentimiento para que la Empresa transfiera dicha Información personal de Seagate cuando sea necesario, siempre que la Empresa haya tomado todas las medidas para cumplir con las Leyes de protección de datos para la protección de dicha Información personal de Seagate.
  3. INDIA
    1. Aplicabilidad. Las disposiciones de esta Sección 3 se aplican cuando la Ley de Tecnología de la Información de 2000 ("Ley de TI”) y las Normas de tecnología de la información (Prácticas y procedimientos de seguridad razonables y datos o información personal confidenciales), 2011 ("Reglas de privacidad"), con sus modificaciones y sustituciones ocasionales, se aplican al procesamiento por parte de la Empresa de la información personal de Seagate proporcionada por una filial de Seagate en India, independientemente de si el procesamiento se lleva a cabo en India
    2. La Cláusula 1.12 del APD se modificará para incluir las categorías de datos personales especificadas en la Sección 3 de las Reglas de privacidad.
  4. JAPÓN
    1. Aplicabilidad. Las disposiciones de este apartado 3 se aplican a la información personal perteneciente a Seagate que el proveedor reciba o a la que acceda desde una filial de Seagate en Japón.
    2. Personal de la empresa. El proveedor será responsable de supervisar al personal del proveedor en su cumplimiento con el APD.
    3. Medidas de gestión del empleo. El proveedor deberá proteger la información personal perteneciente a Seagate relacionada con la gestión del empleo, conforme a las Normas de gestión del empleo del Ministerio de Salud, Mano de Obra y Bienestar (“MSMOB”).
    4. Información personal obtenida en el empleo. El proveedor deberá asegurarse de que sus empleados no divulguen ni adquieran indebidamente información personal perteneciente a Seagate obtenida por medio de su empleo.
    5. Consentimiento previo a la transferencia o divulgación. El proveedor deberá obtener el consentimiento previo por escrito de Seagate para divulgar o transferir números de seguro social y fiscales a entidades externas (lo que incluye filiales) que no sean una de las partes de este APD, incluidos los subprocesadores.
    6. Devolución o destrucción tras la consecución de la finalidad. El proveedor deberá dejar de procesar la información personal perteneciente a Seagate en su posesión y devolverla o destruirla una vez haya logrado la finalidad para la que se obtuvo.
    7. Finalidad de copias de seguridad. El proveedor no deberá copiar ni reproducir información personal perteneciente a Seagate, salvo para fines de realizar copias de seguridad.
  5. COREA DEL SUR
    1. Aplicabilidad. Las disposiciones de este apartado 4 se aplican a la información personal perteneciente a Seagate que el proveedor reciba o a la que acceda desde una filial de Seagate ubicada en Corea del Sur.
    2. Acceso limitado. El proveedor deberá limitar el acceso a información personal a los miembros de su personal que necesiten ese acceso en una medida razonable para los fines de procesar datos.
    3. Protecciones obligatorias. El proveedor deberá establecer y hacer cumplir diversas protecciones, que incluyen las siguientes:
      1. procedimientos internos para el manejo seguro de información personal;
      2. protecciones tecnológicas como cortafuegos y software antivirus y contra programas informáticos maliciosos;
      3. restricciones físicas de acceso, como candados;
      4. medidas para prevenir la alteración o falsificación de bitácoras de acceso o expedientes de procesamiento;
      5. medidas para almacenar y transmitir información de forma segura, como cifrado de la información personal en casos en que lo exija la Ley de Protección de Información Personal (PIPA), los Reglamentos de Aplicación de PIPA, la Ley de Promoción del Uso de Redes de Información y Comunicaciones y la Protección de la Información (PICNU), los Reglamentos de Aplicación de PICNU (“reglamentos de la ley PICNU”), la Ley de Uso y Protección de Información Crediticia (UPCIA), entre otras leyes coreanas.
    4. Cifrado de datos de identificación particulares. El proveedor deberá cifrar los números de registro de residente, permisos de conducir y de pasaporte al momento de:
      1. transmitirlos por medio de una red de información o comunicaciones;
      2. almacenarlos en medios de almacenamiento portátiles o complementarios;
      3. almacenarlos en una red informática externa, o en una zona desmilitarizada, o en una computadora personal o dispositivo móvil, o
      4. almacenarlos en la red interna del proveedor si los sistemas de este no logran cumplir con los criterios de riesgo estipulados por Seagate.
    5. Cifrado de contraseñas y datos biométricos. El proveedor deberá cifrar todas las contraseñas y datos biométricos almacenados en cualquier forma.
    6. Información previa a la divulgación. Antes de divulgar o transferir información personal perteneciente a Seagate a un procesador de datos externo, el proveedor deberá informar a Seagate con un tiempo de antelación razonable. A petición de Seagate, el Proveedor facilitará la siguiente información: (a) las actividades de Procesamiento que se subcontratarán; (b) la identidad del procesador de datos externo, y (c) los cambios que se produzcan en (a) o (b).
    7. Capacitación. El proveedor deberá participar en las capacitaciones que Seagate opte por proveerle al proveedor para evitar que la información personal perteneciente a Seagate sea robada, divulgada, alterada o dañada durante las actividades de procesamiento de información personal perteneciente a Seagate.
  6. SINGAPUR
    1. Aplicabilidad. Las disposiciones de la Sección 6 se aplican cuando la Ley de Protección de Datos Personales de Singapur de 2012 (núm. 26 de 2012) se aplica al procesamiento de información personal de Seagate por parte de la Empresa.
    2. La cláusula 1.3 del APD se sustituirá por lo siguiente:

      1.3 "Violación de la privacidad de los datos” se refiere a cualquier brecha de seguridad que conduzca a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada, acceso a, adquisición de Información personal de Seagate, lo que incluye: (a) el acceso, la recopilación, el uso, la divulgación, la copia, la modificación o la eliminación no autorizados de la Información personal de Seagate; o (b) la pérdida de cualquier medio de almacenamiento o dispositivo en el que se almacene la Información personal de Seagate en circunstancias en las que sea probable que se produzca el acceso, la recopilación, el uso, la divulgación, la copia, la modificación o la eliminación no autorizados de la Información personal de Seagate.

    3. La cláusula 5.1 del APD se sustituirá por lo siguiente:

      Notificación de una infracción de la privacidad de los datos. Cuando la Empresa tenga motivos para creer que se ha producido una Infracción de la privacidad de los datos, la Empresa deberá notificar a Seagate por escrito de la Infracción de la privacidad de los datos sin demora indebida, y deberá:

      1. investigar o proporcionar la asistencia requerida en la investigación de la infracción de la privacidad de los datos;
      2. proporcionar a Seagate información sobre la Infracción de la privacidad de los datos y proporcionar de inmediato información adicional relevante a medida que esté disponible; y
      3. tomar medidas comercialmente razonables para contener la Infracción de la privacidad de los datos, mitigar los efectos de la Infracción de la privacidad de los datos o ayudar a Seagate a hacerlo a expensas de la Empresa.
  7. TAIWÁN
    1. Aplicabilidad. Las disposiciones de este apartado 5 se aplican a la información personal perteneciente a Seagate que el proveedor reciba o a la que acceda desde una filial de Seagate en Japón.
    2. Subprocesadores. No obstante, el apartado 2.4 de este APD, el proveedor no deberá divulgar ni transferir información personal perteneciente a Seagate a ningún otro subprocesador, ni permitirle acceso a dicha información, sin el consentimiento escrito explícito de Seagate.
    3. Tiempo de procesamiento limitado. El proveedor deberá procesar la información personal perteneciente a Seagate solo por el periodo de tiempo necesario para lograr los fines del procesamiento, a menos que las partes hayan acordado un plazo distinto.
    4. Conservación de registros de acceso. El proveedor deberá conservar registros de acceso durante el tiempo que sea necesario con el fin de garantizar que se revisen de forma periódica para detectar instancias de acceso no autorizado.
  8. TAILANDIA
    1. Aplicabilidad. Las disposiciones de esta Sección 6 se aplican cuando la Ley de Protección de Datos Personales de Tailandia, BE 2562 (2019) ("PDPA"), con sus enmiendas y sustituciones ocasionales, se aplica a la información personal de Seagate que la Empresa recibe o a la que accede desde una Filial de Seagate ubicada en Tailandia.
    2. La cláusula 1.3 del APD se sustituirá por lo siguiente:

      1.3 "Violación de la privacidad de los datos” se refiere a una infracción de las medidas de seguridad que provoca la pérdida, el acceso, el uso, la modificación o la divulgación de datos personales de forma ilícita o sin autorización, como resultado de un acto intencional, deliberado, negligente, accidental, no autorizado o ilegal, o un acto relacionado con delitos informáticos, amenazas cibernéticas, errores o accidentes, o cualquier otro acto, según lo prescrito por la notificación emitida en virtud de la PDPA.

    3. La Cláusula 1.12 del APD se modificará para incluir las categorías de datos personales especificadas en la Sección 26 de las Reglas de privacidad.
    4. NORMAS DE SEGURIDAD. La Empresa deberá hacer todo lo posible y tomar todas las medidas razonables para implementar y mantener los estándares de seguridad que, como mínimo, estarán de acuerdo con los requisitos del Anexo II y con las disposiciones y requisitos estipulados en la PDPA y cualquier otra regla, regulación, notificación y /u órdenes emitidas en virtud de las mismas, incluida, entre otras, la Notificación del Comité de Protección de Datos Personales en relación con: Medidas de seguridad del controlador de datos BE 2565 (2022), según se modifique, complemente o reemplace de vez en cuando.

El acuerdo de privacidad de datos entra en vigencia a partir del 31 de noviembre de 2025.

 

Para los acuerdos completados entre el 20 de junio de 2024 y el 31 de julio de 2025, consulte el PDF aquí: Acuerdo de privacidad de datos, 20 de junio de 2024

Para los acuerdos completados entre el 8 de diciembre de 2022 y el 20 de junio de 2024, consulte el PDF aquí: Acuerdo de privacidad de datos, 8 de diciembre de 2022

Para los acuerdos completados entre el 11 de agosto de 2020 y el 8 de diciembre de 2022, consulte el PDF aquí: Acuerdo de privacidad de datos, 11 de agosto de 2020

Para los acuerdos completados entre el 20 de noviembre de 2019 y el 10 de agosto de 2020, consulte el PDF aquí: Acuerdo de privacidad de datos, 20 de noviembre de 2019

Para los acuerdos completados entre el 20 de noviembre de 2019 y el 31 de marzo de 2019, consulte el PDF aquí: Acuerdo de privacidad de datos, 20 de noviembre de 2019

INFORME DE DATOS DE DESCARBONIZACIÓN

Sostenibilidad de los centros de datos en la era de la IA
Acerca de Seagate Nuestra historia  ESG  Centro de Confianza  Control de calidad 
Soporte  Soporte de productos  Descargas de software de Seagate  Descargas de software de LaCie  Registro de productos Seagate  Registro de productos LaCie  Garantía y Reemplazos  Seagate Systems  Contáctenos 
Recursos de prensa Sala de prensa  Historias de Seagate  Blog  Portal de la marca Seagate 
Inversionistas 
Socios  Socios indirectos y revendedores  Seagate Training Portal  Seagate Direct y proveedores  Seagate Technology Alliance Program 
Trabajos  La vida en Seagate  Cultura de Seagate  Programas universitarios 
Dónde comprar  Buscador de productos 
facebook logo linkedin logo youtube logo x logo instagram logo
©2025 Seagate Technology LLC Legal Privacidad Divulgación de vulnerabilidades Cookie Settings
Mapa del sitio