Historias de Seagate Blog Centro de recursos Socios
Seagate Legal

ACUERDO DE PRIVACIDAD DE DATOS

ANEXO

El presente ACUERDO DE PROTECCIÓN DE DATOS, incluidos todos los anexos que se establecen a continuación (este "APD"), se celebra entre la compañía de Seagate indicada en los Acuerdos (" Seagate") y la compañía proveedora indicada en los Acuerdos ("Compañía ") (cada una de ellas, una "parte", y colectivamente, las "Partes").

 

La Compañía ha celebrado uno o varios pedidos de compra, contratos y/o acuerdos, incluidas las especificaciones de trabajo (los"Acuerdos"), con Seagate, en virtud de los cuales la Compañía se ha comprometido a prestar determinados servicios a Seagate, tal y como se describe con más detalle en los Acuerdos ("Servicios").

 

Las partes celebran este APD para garantizar que el Procesamiento por parte de la Compañía de los Datos personales proporcionados a la Compañía o recopilados por la Compañía para Seagate y/o en su nombre, se realice de manera que cumpla con las Leyes de protección de datos y sus requisitos con respecto a la recopilación, el uso y la conservación de los Datos personales de los interesados.

 

Este APD se incorpora y forma parte de los Acuerdos. Todas las palabras en mayúsculas no definidas en este APD tendrán el significado establecido en los Acuerdos.

 

Las partes interesadas reconocen y acuerdan lo siguiente:

 

  1. DEFINICIONES
    1. Afiliada” se refiere a cualquier entidad que controle, sea controlada por o esté bajo control común con la parte en cuestión.
    2. Control” se refiere a un interés de propiedad, voto o similar que represente el cincuenta por ciento (50 %) o más de los intereses totales (medidos sobre una base totalmente diluida) en circulación de la entidad en cuestión. El término "Controlado” se interpretará en consecuencia.
    3. Una “infracción de la privacidad de los datos” se refiere la destrucción accidental o ilícita, pérdida, alteración, divulgación o acceso no autorizado a información personal de Seagate, o a otro tipo de procesamiento no autorizado de información personal de Seagate.
    4. Ley(es) de protección de datos” se refiere a todas las leyes, normas y regulaciones mundiales de protección de datos, seguridad de datos y privacidad, aplicables a los Datos personales en cuestión, lo que incluye, cuando corresponda: (i) la Ley Europea de Protección de Datos; (ii) todas las leyes, normas y reglamentos de los Estados Unidos, incluidas las Leyes de Privacidad Estatales de los EE. UU., según se modifiquen, reemplacen o actualicen periódicamente; (iii) el Programa de Seguridad de Datos; y (iv) las normas industriales aplicables adecuadas a la naturaleza de la Información Personal.
    5. Programa de Seguridad de Datos” o “DSP” se refiere a la norma del Departamento de Justicia de los Estados Unidos titulada “Prevención del acceso a datos personales sensibles de EE. UU. y datos relacionados con el gobierno por parte de países de interés o personas cubiertas” (28 CFR Parte 202), publicada el 8 de enero de 2025, que implementa la Orden Ejecutiva 14117 del 28 de febrero de 2024 (Prevención del acceso a datos personales sensibles masivos de estadounidenses y datos relacionados con el gobierno de los Estados Unidos por parte de países de interés), en su versión modificada y actualizada.
    6. Leyes europeas de protección de datos” se refiere a todas las leyes y regulaciones de protección de datos aplicables a la Unión Europea (“UE”) o el Espacio Económico Europeo (“EEE”), incluyendo:
      1. el Reglamento general de protección de datos 2016/679 ("RGPD UE”);
      2. el RGPD tal como se guarda en la ley del Reino Unido en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) del Reino Unido de 2018 y la Ley de Protección de Datos del Reino Unido de 2018 (la"RGPD RU");
      3. la Ley Federal de Protección de Datos de Suiza del 19 de junio de 1992 y sus ordenanzas correspondientes ("APD Suiza”);
      4. Directiva 2002/58/CE relativa al tratamiento de datos personales y la protección de la privacidad en el sector de las comunicaciones electrónicas; y
      5. las implementaciones nacionales aplicables de (A) y (D).
    7. SCC de la UE” se refiere a las cláusulas contractuales anexas a la Decisión de Ejecución 2021/914 de la Comisión Europea, de 4 de junio de 2021, sobre cláusulas contractuales estándar para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo.
    8. Información personal” se refiere a cualquier información que identifique o se relacione con una persona física identificada o identificable, incluida la información asociada con dispositivos o identificadores en línea, y cualquier información definida de otro modo como “datos personales”, “información de identificación personal” o un término similar en virtud de las leyes de protección de datos aplicables.
    9. Procesamiento” o “Procesamiento” se refieren, sin limitación, a operaciones realizadas en la Información Personal de Seagate, ya sea por medios automatizados o no, tales como recopilar, registrar, organizar, estructurar, alterar, usar, acceder, divulgar, difundir, copiar, transferir, almacenar o retener de cualquier otra manera, eliminar, alinear, combinar, restringir, adaptar, recuperar, consultar, destruir o desechar Información Personal.
    10. Restringido Transferir” significa:
      1. cuando se aplique el RGPD de la UE, se trata de una transferencia de información personal desde el EEE a un país fuera del EEE que no está sujeto a una determinación de adecuación por parte de la Comisión Europea;
      2. donde se aplica el RGPD del Reino Unido, una transferencia de información personal del Reino Unido a cualquier otro país que no esté sujeto a, o basado en, regulaciones de adecuación de conformidad con la Sección 17A de la Ley de Protección de Datos del Reino Unido de 2018; y
      3. donde se aplique la Autoridad Suiza de Protección de Datos, se considerará transferencia de información personal desde Suiza a cualquier otro país que no esté basada en una decisión de adecuación reconocida por la legislación suiza de protección de datos.
    11. Información personal de Seagate” se refiere a cualquier Información personal que sea creada, propiedad de o proporcionada por Seagate o para Seagate, y a la que la Compañía tenga acceso, obtenga, utilice, mantenga o procese en nombre de Seagate en relación con cualquier Acuerdo entre las Partes y/o sus Afiliadas.
    12. Información Sensible” se refiere a cualquier Información Personal de Seagate que se clasifique como sensible según las Leyes de Protección de Datos aplicables, incluyendo: (i) los números de identificación emitidos por el gobierno (como números de seguridad social, pasaporte, identificación fiscal y licencia de conducir); (ii) los detalles de cuentas financieras o tarjetas de pago, con o sin código o contraseña que permita el acceso a la cuenta o al historial crediticio; (iii) la información de salud, genética o biométrica; (iv) la información que revele raza, etnia, religión, orientación sexual o vida sexual, creencias políticas o filosóficas o afiliación sindical; (v) la verificación de antecedentes o registros judiciales, incluidos antecedentes penales o información sobre otros procedimientos judiciales o administrativos; y (vi) cualquier información designada como "información personal sensible", "datos personales sensibles", "datos sensibles" o "categorías especiales de datos" según las leyes de protección de datos aplicables, incluido el RGPD de la UE, el RGPD del Reino Unido y la Ley de Protección de Datos de Suiza.
    13. Cláusulas estándar” se refiere (según corresponda) a las CSC de la UE, el Anexo del Reino Unido y las modificaciones suizas establecidas en la Sección 4.1 (Espacio Económico Europeo, Cláusulas estándar del Reino Unido y Suiza) de este DPA.
    14. Un "subprocesador” es una entidad externa contratada por la Compañía o algún otro subprocesador que vaya tener acceso, reciba o procese cualquier información personal de Seagate.
    15. Autoridad supervisora” hace referencia a cualquier agencia reguladora, supervisora, gubernamental, estatal, Fiscal General u otra autoridad competente con jurisdicción o supervisión sobre el cumplimiento de las Leyes de protección de datos.
    16. Personal de la Compañía” significa cualquier empleado, contratista, proveedor de servicios, vendedor, subprocesador o agente de la Compañía a quien la Compañía autoriza para procesar información personal de Seagate.
    17. Anexo del Reino Unido” se refiere al Anexo de Transferencia Internacional de Datos (versión B1.0) emitido por la Oficina del Comisionado de Información en virtud del artículo 119(A) de la Ley de Protección de Datos del Reino Unido de 2018, según se actualice o modifique de vez en cuando.
    18. Leyes de privacidad estatales de EE. UU.” se refiere a todas las leyes, normas y reglamentos aplicables en materia de privacidad de datos, protección de datos y ciberseguridad a los que está sujeta la información personal de Seagate.
    19. Los términos “Controlador”, “Interesado”, “Encargado”, “Compañía”, “Recopilar”, “Consumidor”, “Compartir”, “Venta”, “Vender”, “Autoridad de Supervisión” y “Proveedor de Servicios” tendrán los significados que se les atribuyen en las leyes de protección de datos.
    20. Los términos “Datos personales sensibles de EE. UU. a granel”, “País de interés”, “Transacción de datos cubiertos”, “Persona cubierta”, “Intermediación de datos”, “Contrato de empleo”, “Persona extranjera”, “Datos relacionados con el gobierno”, “Contrato de inversión”, “Requisitos de seguridad”, “Transacción” y “Contrato con el proveedor” tendrán los significados que se les atribuyen en el DSP.
    21. La palabra “incluye” deberá interpretarse en el sentido de incluir sin tratarse de una lista exhaustiva, y los términos afines deberán interpretarse de igual manera.
  2. PROTECCIÓN Y SEGURIDAD DE LOS DATOS
    1. Estado de las partes. Con respecto a la Información Personal de Seagate, las Partes reconocen y aceptan que la Compañía procesará dicha Información Personal como Procesador, en nombre de Seagate. Se instruye a la Compañía para que procese la Información Personal en la medida necesaria para prestar los Servicios según lo establecido en los Acuerdos y este DPA.
    2. Funciones de la CCPA.A los efectos de la Ley de Privacidad del Consumidor de California de 2018 (Código Civil de California §§ 1798.100 et seq (“CCPA"), modificada por la Ley de Derechos de Privacidad de California ("CPRA”)) (cuando corresponda), la Compañía procesará los Datos personales como proveedor de servicios siguiendo las instrucciones de Seagate como compañía ;
    3. No divulgación de información personal de Seagate. La Compañía no podrá divulgar información personal perteneciente a Seagate de ninguna forma y para ningún fin a entidades externas sin primero obtener el consentimiento de Seagate por escrito para hacerlo, a menos que la divulgación sea a los subprocesadores de acuerdo con el apartado más abajo.Sección 2.5 (Requisitos de procesamiento)a continuación. Sin perjuicio de lo anterior, en ningún caso la Compañía podrá vender ni divulgar información personal de Seagate a terceros para beneficio comercial propio o de terceros. Toda persona autorizada a procesar información personal de Seagate deberá comprometerse contractualmente a mantener la confidencialidad de dicha información o estar sujeta a una obligación legal de confidencialidad.
    4. Limitaciones del procesamiento. La Compañía solo procesará la Información personal de Seagate con el fin de proporcionar los Servicios a Seagate en virtud de los Acuerdos y de conformidad con las instrucciones legales documentadas de Seagate (“Propósitos permitidos”). Para estos fines, Seagate instruye a la Compañía para que procese la Información personal de Seagate para los fines descritos enParte V B (DESCRIPCIÓN DE LA TRANSFERENCIA)delAnexo I (Descripción del procesamiento de datos), la Compañía no procesará ni permitirá el procesamiento de la Información Personal de Seagate excepto cuando sea necesario para prestar servicios a Seagate de conformidad con cualquier Acuerdo entre las Partes y/o sus Afiliadas u otras instrucciones escritas de Seagate.
    5. Requisitos de procesamiento. La Compañía deberá en todo momento: (a) Procesar la Información Personal de Seagate únicamente para los Fines Permitidos; y (b) no procesar la Información Personal de Seagate para sus propios fines ni para los de terceros. La Compañía no deberá: (i) vender o compartir información personal de Seagate; (ii) retener, usar o divulgar información personal de Seagate para cualquier propósito que no sean los Propósitos Permitidos, incluyendo retener, usar o divulgar información personal de Seagate para un propósito comercial que no sea la prestación de los Servicios bajo el/los Acuerdo(s); o (iii) retener, usar o divulgar información personal de Seagate fuera de la relación comercial directa entre Seagate y la Compañía. La Compañía notificará a Seagate si ya no puede cumplir con sus obligaciones bajo la CCPA/CPRA. La Compañía certifica que comprende y cumplirá con los requisitos y restricciones establecidos en este documento.Sección 2y cumplirá con los requisitos aplicables a los proveedores de servicios conforme a la CCPA/CPRA. Además, reconoce y acepta que el intercambio de información personal entre las partes no constituye una venta ni forma parte de ninguna contraprestación monetaria o de otro valor intercambiada entre las partes con respecto a los Acuerdos o este Acuerdo de Protección de Datos. En ningún caso la Compañía combinará la información personal de Seagate recibida de Seagate con la información personal que la Compañía reciba de, o en nombre de, otra u otras personas, o que la Compañía recopile de cualquier interacción entre ella y un consumidor. Tanto Seagate como la Compañía declaran haber leído y comprendido los requisitos establecidos en la CCPA/CPRA.
    6. Programa de seguridad de la información. La Compañía deberá implementar, gestionar, supervisar y, en caso necesario, actualizar un programa de seguridad de la información por escrito de carácter integral donde figuren las protecciones administrativas, técnicas y físicas correspondientes destinadas a proteger la información personal perteneciente a Seagate de las amenazas o peligros anticipados contra su privacidad, confidencialidad o integridad (tales como el acceso no autorizado, la obtención, uso, copia, modificación, desecho o divulgación, de carácter ilícita y no autorizada, o la pérdida accidental, destrucción, adquisición o daño o cualquier otra forma de procesamiento no autorizado) (“) (“programa de seguridad de la información”). El Programa de Seguridad de la Información incluirá los requisitos y medidas enumerados en las normas de seguridad adjuntas comoel Anexo II (Normas de seguridad).
    7. Restricciones a los subprocesadores. La Compañía podrá divulgar información personal de Seagate a subprocesadores según sea necesario para realizar sus servicios para Seagate, sujeto a las condiciones establecidas en este documento.Sección 2.7La Compañía mantendrá una lista de los Subprocesadores a los que divulga Información Personal de Seagate y proporcionará esta lista a Seagate cuando Seagate lo solicite. A partir de la fecha de entrada en vigor del/de los Acuerdo(s), si corresponde, una lista actualizada del/de los Subprocesador(es) de la Compañía se incluye en el/los Acuerdo(s) o en cualquier otro documento proporcionado por la Compañía a Seagate y firmado por ambas Partes, que establece la lista de Subprocesadores. . La Compañía notificará a Seagate en [email protected]al menos 30 días hábiles antes de agregar cualquier Subprocesador a la lista. Si Seagate no objeta al Subprocesador propuesto dentro de los 30 días hábilesa partir de la recepción de la notificación, se considerará que el Subprocesador ha sido aprobado. Si Seagate objeta que algún Subprocesador tenga acceso a la Información Personal de Seagate, la Compañía no divulgará la Información Personal de Seagate al Subprocesador. Si en algún momento alguna de las partes considera que un subprocesador no ofrece garantías de seguridad suficientes, acordes con el riesgo asociado al tratamiento de la información personal de Seagate, Seagate podrá, a su entera discreción, eliminarlo de la lista. En caso de que Seagate objete o elimine a un subprocesador, se le otorgará a la Compañía un plazo razonable para sustituirlo. Si la Compañía no puede prestar los Servicios sin revelar la información personal de Seagate al subprocesador, Seagate podrá rescindir cualquier acuerdo aplicable entre las partes y/o sus filiales sin que ello genere coste ni responsabilidad alguna para la Compañía.
    8. Cumplimiento e incumplimiento por parte de subprocesadores. El uso de subprocesadores por parte de la Compañía no reduce la obligación de la Compañía de cumplir con este DPA ni con las leyes de protección de datos aplicables. La Compañía será responsable ante Seagate por la prestación de los servicios, los incumplimientos de la privacidad de los datos y los incumplimientos de este DPA y las leyes de protección de datos aplicables por parte de sus subprocesadores en la misma medida que si la Compañía los hubiera incumplido.
    9. Obligaciones del personal de la Compañía y los subprocesadores. La Compañía se asegurará de que cualquier persona o Subprocesador que tenga acceso a la Información personal de Seagate celebre un acuerdo por escrito que contenga términos al menos tan restrictivos como los de este APD. La Compañía deberá asegurarse de que todas las obligaciones de privacidad y protección de los datos se mantengan después de que termine su procesamiento para efectos de los servicios a Seagate. Esta obligación continúa a perpetuidad, o bien, hasta que la Compañía haya certificado que toda la información personal perteneciente a Seagate se ha eliminado, destruido o es irrecuperable.
    10. La Compañía limitará el acceso a la Información Personal de Seagate únicamente al personal de la Compañía o a los subencargados que requieran dicho acceso para que la Compañía cumpla con sus obligaciones en virtud de cualquier Acuerdo celebrado entre las partes y/o sus Afiliadas, o por instrucción escrita de Seagate, y que (a) hayan recibido capacitación en materia de protección de datos y requisitos de seguridad, y (b) se hayan comprometido a cumplir con requisitos de confidencialidad de datos al menos tan restrictivos como los exigidos por Seagate, tanto durante como después del tratamiento de los datos para Seagate;
    11. Aviso de solicitudes o quejas. A menos que lo prohíba la ley, la Compañía notificará a Seagate a la dirección [email protected]dentro de los dos días hábiles posteriores a la recepción de cualquier solicitud o queja relacionada con el procesamiento de la información personal de Seagate, incluyendo:
      1. solicitudes de un interesado para la portabilidad de datos, y solicitudes para acceder, modificar, eliminar o restringir, y solicitudes similares; o
      2. quejas o acusaciones de que el procesamiento infringe los derechos del titular de los datos.
    12. Respuestas de la Compañía. La Compañía no responderá a ninguna solicitud o queja en virtud de laSección 2.11 (Aviso de solicitudes o quejas) a menos que Seagate lo autorice expresamente. La Compañía cooperará con Seagate respecto de cualquier acción relacionada con cualquier solicitud o queja, incluidas, entre otras, las solicitudes de eliminación. La Compañía procurará implementar procesos adecuados (incluidas medidas técnicas y organizativas) para ayudar a Seagate a responder a las solicitudes o quejas, a menos que la ley lo prohíba.
    13. Solicitudes de divulgación. A menos que la ley lo prohíba, la Compañía deberá notificar a Seagate de inmediato si recibe algún documento en el que se solicite o se pretenda forzar la divulgación de información personal (como preguntas verbales, interrogatorios, solicitudes de información o documentos en procesos legales, órdenes de comparecencia, demandas de investigación civiles u otras solicitudes o procesos de este tipo; denominadas colectivamente como “solicitudes de divulgación”). Si una solicitud de divulgación no es obligatoria, la Compañía no deberá responder. Si una solicitud de divulgación es obligatoria, la Compañía, a menos que lo prohíba la ley, deberá notificar a Seagate con 48 horas de anticipación antes de responder, de modo que Seagate pueda ejercer los derechos a su haber para prevenir o limitar la divulgación. La Compañía deberá hacer un esfuerzo razonable por prevenir o limitar la divulgación de información y preservar la confidencialidad de la información personal. La Compañía deberá cooperar con Seagate con respecto a cualquier medida que se tome en respuesta a una solicitud de divulgación, lo que incluye cooperar para obtener una orden de protección adecuada u otro tipo de garantía a efectos de proteger la confidencialidad de la información personal.
    14. Cooperación. La Compañía deberá asistir a Seagate en el cumplimiento de sus obligaciones en virtud de las leyes de protección de datos relacionadas con: (a) el registro y notificación; (b) rendición de cuentas; (c) la seguridad de la información personal, y (d) la realización de análisis de impacto en términos de privacidad y protección de los datos y consultas relacionadas de las autoridades supervisoras.
    15. Participación en investigaciones de agencias de reglamentación. La Compañía deberá asistir y apoyar a Seagate en cualquier investigación realizada por una autoridad supervisora, en la medida en que la investigación se relacione con información personal perteneciente a Seagate procesada por la Compañía o un subprocesador de esta.
    16. Aviso de posible incumplimiento o incapacidad de cumplimiento. La Compañía deberá notificar a Seagate de inmediato si se dan las siguientes circunstancias:
      1. la Compañía tiene motivos para creer que las instrucciones de Seagate respecto al procesamiento de información personal perteneciente a Seagate podría incurrir en el incumplimiento de las leyes vigentes;
      2. la Compañía tiene motivos para creer que no es capaz de cumplir ninguna de sus obligaciones en virtud de este APD o las leyes de protección de datos, y no puede remediar la incapacidad de cumplimiento en un plazo de tiempo razonable, o
      3. la Compañía toma conocimiento de circunstancias o cambios en las leyes vigentes que probablemente prevendrían el cumplimiento de sus obligaciones en virtud de este APD.
    17. Suspensión o ajustes para el cumplimiento. Seagate podrá suspender el procesamiento de información personal de Seagate por parte de la Compañía o sus subprocesadores para prevenir posibles violaciones o incumplimientos de la ley aplicable, este Acuerdo de Protección de Datos (DPA) o cualquier acuerdo aplicable entre las Partes o sus Afiliadas en materia de privacidad o protección de datos. La Compañía cooperará con Seagate para ajustar el procesamiento y subsanar cualquier posible violación o incumplimiento. Si no es posible realizar ningún ajuste, Seagate podrá rescindir cualquier Acuerdo aplicable entre las Partes o sus Afiliadas, sin costo ni responsabilidad alguna para la Compañía.
  3. PROGRAMA DE SEGURIDAD DE DATOS
    1. Cumplimiento con el DSP. La Compañía reconoce que cierta información personal de Seagate puede constituir datos personales sensibles de EE. UU. o datos relacionados con el gobierno sujetos al DSP. La Compañía declara y garantiza que cumplirá con el DSP en la medida en que sea aplicable a su procesamiento de la información personal de Seagate, incluidas todas las restricciones aplicables sobre el acceso, la transferencia y el uso de dichos datos, y procesará la información personal de Seagate únicamente de conformidad con este DPA. Nada de lo estipulado en este DPA autoriza a la Compañía a realizar ningún procesamiento o transferencia que esté prohibido por el DSP.
    2. Transacciones prohibidas. La Compañía no participará en la intermediación de datos que involucre datos personales sensibles de EE. UU. o datos relacionados con el gobierno cuando dicha intermediación de datos esté prohibida por el DSP, incluidas las transacciones que resultarían en el acceso por parte de un país de interés o una persona cubierta. Esta restricción se aplica independientemente de la anonimización, la seudonimización, el cifrado u otras medidas de seguridad técnicas.
    3. Transacciones restringidas. En la medida en que la prestación de los Servicios por parte de la Compañía pueda implicar un Acuerdo de proveedor, un Acuerdo de empleo o un Acuerdo de inversión que pudiera resultar en el acceso a Datos personales sensibles de EE. UU. o Datos relacionados con el gobierno por parte de una Persona cubierta o un País de interés, la Compañía deberá: (a) notificar a Seagate con anticipación; (b) obtener la aprobación previa por escrito de Seagate; y (c) implementar todos los Requisitos de seguridad aplicables en virtud del DSP, además de los Estándares de seguridad en este DPA u otros requisitos de seguridad acordados entre las partes.
    4. Gobernanza y Obligaciones Continuas. La Compañía deberá notificar de inmediato a Seagate si tiene conocimiento de cualquier cambio en las circunstancias que pueda afectar el cumplimiento de DSP, incluidos cambios en la propiedad, el control, la subcontratación o el acceso geográfico. Seagate podrá suspender o restringir el acceso a los datos afectados cuando sea necesario para abordar las preocupaciones de cumplimiento de DSP. El incumplimiento de estoSection 3constituye un incumplimiento sustancial de este Acuerdo de Protección de Datos y también puede constituir una violación del Programa de Seguridad de Datos.
  4. TRANSFERENCIAS DE DATOS
    1. Cláusulas estándar del Espacio Económico Europeo, Reino Unido y Suiza.
      1. Las partes acuerdan que cuando la transferencia de Información personal de Seagate de Seagate a la Compañía sea una Transferencia restringida, estará sujeta a las Cláusulas estándar correspondientes, que se incorporan automáticamente por referencia y forman parte integral de este APD como se establece a continuación:
        1. en relación con la información personal de Seagate que está protegida por el RGPD de la UE, las SCC de la UE se aplicarán de la siguiente manera:
          1. Seagate será el exportador de datos y la Empresa será el importador de datos;
          2. Se aplicará el “Módulo Dos (C2P)”;
          3. en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional;
          4. En la cláusula 9 del “Módulo Dos (C2P)”, se aplicará la “Opción 2”, y el plazo para la notificación previa de los cambios de subprocesadores será el establecido en el apartado 2.7 (Restricciones a los subprocesadores) de este DPA;
          5. En la cláusula 11, el lenguaje opcional no será aplicable;
          6. en la Cláusula 17;
            1. Para el “Módulo Dos (C2P)”, se aplicará la “Opción 1”, y
            2. las SCC de la UE se regirán por la legislación irlandesa;
          7. en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;
          8. El Anexo I de las CCT de la UE se considerará completado con la información establecida en elAnexo I(Descripción del procesamiento de datos) a este DPA; y
          9. el Anexo II de las CCT de la UE se considerará completado con la información establecida en elAnexo II(Estándares de seguridad) a este DPA.
        2. En relación con los datos que están protegidos por el RGPD del Reino Unido, las CCT de la UE: (i) se aplicarán tal como se completen de conformidad con la Sección 4.1Baarriba mencionada; y (ii) se considerará modificado según lo especificado por el Anexo del Reino Unido, que se considerará ejecutado por las Partes e incorporado y forma parte integral de este DPA. Cualquier conflicto entre los términos de las CCT de la UE y el Anexo del Reino Unido se resolverá de conformidad con las Secciones 10 y 11 del Anexo del Reino Unido. Además, las tablas 1 a 3 de la Parte 1 del Anexo del Reino Unido se completarán respectivamente con la información establecida en elAnexo I(Descripción del procesamiento de datos) y la sección II (Normas de seguridad)de este DPA y la tabla 4 de la Parte 1 se considerarán completados al no seleccionar a ninguna de las partes.
        3. En relación con la información personal de Seagate que está protegida por el APD suizo, las CCT de la UE tal como se implementan de conformidad con laSección 4.1BaLo anterior se aplicará siempre que:
          1. Las referencias en las cláusulas contractuales tipo de la UE al Reglamento (UE) 2016/679 o al [RGPD de la UE] se interpretarán como referencias a la Ley Federal Suiza de Protección de Datos ("FADP");
          2. las referencias a "Derecho de la UE", "Derecho de la Unión" y "Derecho de los Estados miembros" se interpretarán como referencias a Suiza y al Derecho suizo, según corresponda;
          3. el término "Estado miembro” no se interpretará de manera que excluya a los interesados en Suiza de la posibilidad de demandar por sus derechos en su lugar de residencia habitual (Suiza);
          4. las cláusulas SCC de la UE deben interpretarse como la protección de los datos de las personas jurídicas hasta la entrada en vigor de la FADP revisada; y
          5. las referencias a la autoridad supervisora competente y los tribunales competentes se interpretarán como referencias al Comisionado Federal de Protección de Datos e Información de Suiza y los tribunales competentes en Suiza;
        4. En caso de que alguna disposición de este APD o de los Contratos contradiga, directa o indirectamente, las Cláusulas estándar, prevalecerán las Cláusulas estándar.
        5. La Compañíadeberá asegurarse de que sus subprocesadores también se rijan por las cláusulas normativas, según corresponda.
      2. Mecanismos de transferencia alternativos: En la medida en que la Compañía adopte un mecanismo alternativo de exportación de datos no descrito en este DPA (incluida cualquier nueva versión o sucesor de las Cláusulas Estándar adoptadas de conformidad con la legislación europea de protección de datos aplicable) para la transferencia de Información Personal (“Mecanismo de transferencia alternativo”), el Mecanismo de transferencia alternativo se aplicará en lugar de cualquier mecanismo de transferencia aplicable descrito en este DPA (pero solo en la medida en que dicho Mecanismo de transferencia alternativo: (i) cumpla con la legislación europea de protección de datos; (ii) se extienda a los territorios a los que se transfiere la Información Personal; (iii) satisfaga las consideraciones de notificación que se indican a continuación; y (iv) la Compañía ejecute los demás documentos y realice las demás acciones que sean razonablemente necesarias para dar efecto legal a dicho (Mecanismo de transferencia alternativo). Además, si y en la medida en que un tribunal de jurisdicción competente o una autoridad de supervisión con autoridad vinculante ordene o determine (por cualquier motivo) que no se puede confiar en las medidas descritas en este DPA para transferir legalmente Seagate reconoce y acepta que, sujeto a las consideraciones de notificación descritas a continuación, la Compañía puede implementar cualquier medida o salvaguarda adicional que sea razonablemente necesaria para permitir la transferencia legal de dicha Información Personal de Seagate. Las consideraciones de notificación requieren que la Compañía notifique a Seagate a [email protected]al menos 30 días hábiles antes de implementar Mecanismos de Transferencia Alternativos o cualquier medida adicional. Si Seagate no objeta el Mecanismo de Transferencia Alternativo propuesto o las medidas adicionales dentro de los 30 días hábiles posteriores a la recepción de la notificación, el Mecanismo de Transferencia Alternativo o las medidas adicionales se considerarán aprobados. Si Seagate objeta cualquier Mecanismo de Transferencia Alternativo o medida adicional, la Compañía no utilizará dichos Mecanismos de Transferencia Alternativos ni ninguna medida adicional. En caso de que Seagate objete un Mecanismo de Transferencia Alternativo o una medida adicional, Seagate, a su entera discreción, podrá rescindir cualquier Acuerdo aplicable entre las Partes y/o sus Afiliadas sin costo ni responsabilidad alguna para la Compañía.
      3. Transferencias fuera de países con requisitos de exportación de datos.Si alguna Ley de protección de datos requiere que se tomen medidas adicionales en relación con cualquier restricción de exportación de datos aplicable para permitir la transferencia de Información personal de Seagate a la Empresa (incluidos sus subprocesadores), la Empresa cumplirá con dichos requisitos de protección de datos, incluida la adquisición de los consentimientos o ejecutar cualquier acuerdo de transferencia de datos aplicable (por ejemplo, cláusulas contractuales estándar) o una solución alternativa para garantizar que se implementen las garantías adecuadas para dicha transferencia.
    2. Otras disposiciones jurisdiccionales. Cuando corresponda, la Compañía deberá cumplir con los requisitos de las jurisdicciones específicas, que se adjuntan como elAnexo III(Requisitos de privacidad de datos para jurisdicciones específicas).
  5. CUMPLIMIENTO Y RENDICIÓN DE CUENTAS
    1. Cumplimiento. La Compañía garantizará que el procesamiento de la información personal de Seagate por parte de la Compañía y los subprocesadores cumpla con todas las leyes aplicables, los marcos de autorregulación y los requisitos contractuales aplicables a la Compañía y al subprocesador, incluidas todas las leyes de protección de datos aplicables. La Compañía revisará anualmente las prácticas de la Compañía y los subprocesadores para garantizar que cumplan con este Acuerdo de Protección de Datos y con todas las leyes de protección de datos aplicables. La Compañía cooperará, a su propio costo, con las solicitudes de Seagate para que la Compañía demuestre el cumplimiento de los términos de protección de datos y seguridad a los que se hace referencia en este DPA.
    2. Registros de actividades de procesamiento. La Compañía mantendrá un registro actualizado de los datos del representante y del responsable de protección de datos de la Compañía, las categorías de actividades de procesamiento realizadas, información sobre la transferencia transfronteriza de datos, una descripción general de las medidas de seguridad implementadas con respecto a los datos procesados, el nombre, los datos de contacto y los datos de procesamiento de cada subprocesador de información personal de Seagate y, cuando corresponda, el representante y el responsable de protección de datos de cualquier subprocesador. Previa solicitud, la Compañía proporcionará a Seagate o a la Autoridad de Supervisión una copia histórica y actual de este registro.
    3. Auditorías. Por solicitud escrita, la Compañía deberá poner a disposición de Seagate toda la información necesaria para demostrar su cumplimiento con este APD, y deberá permitir y contribuir con las auditorías, incluidas las inspecciones del sitio, por parte de Seagate o un auditor externo independiente asignado por Seagate en relación con el procesamiento de información personal perteneciente a Seagate. Se requerirá que el auditor externo independiente formalice un acuerdo de no divulgación con las partes. La Compañía deberá corregir cualquier incumplimiento dentro de un plazo de tiempo razonable. Si no es posible realizar ajustes, Seagate podría cancelar los acuerdos correspondientes entre las partes o sus filiales, sin que se le deban costos ni obligaciones a la Compañía
  6. RESPONSABILIDADES DE LA COMPAÑÍA DESPUÉS DE UNA INFRACCIÓN DE LA PRIVACIDAD DE LOS DATOS
    1. Notificación de una infracción de la privacidad de los datos. La Empresa notificará por escrito a Seagate sobre una violación de privacidad de datos conocida o sospechada de forma inmediata y, en cualquier caso, dentro de las 24 horas siguientes a tener conocimiento de la posible violación, y deberá de inmediato:
      1. notificar a Seagate de la infracción de la privacidad de los datos escribiendo a [email protected];
      2. investigar o proporcionar la asistencia requerida en la investigación de la infracción a la privacidad de los datos;
      3. suministrarle a Seagate información detallada sobre la infracción de la privacidad de los datos, lo que incluye, sin tratarse de una lista exhaustiva, las categorías, ubicación y número aproximado de titulares de los datos afectados y las categorías, ubicación y número aproximado de expedientes de información personal perteneciente a Seagate, y continuar suministrándole información adicional sin demora a Seagate acerca de la infracción de la privacidad de datos a medida que esté disponible;
      4. tomar todas las medidas razonables desde el punto de vista comercial con el fin de mitigar los efectos de la infracción de la privacidad de los datos, o asistir a Seagate en hacerlo; e
      5. implementar un plan de reparación, sujeto a la aprobación de Seagate, y llevar un seguimiento de la resolución de las infracciones de la privacidad de los datos y debilidades relacionadas con la información personal perteneciente a Seagate a fin de garantizar que se tomen medidas correctivas de forma oportuna.
    2. Contención y resolución. La Compañía deberá tomar medidas de contención y resolución de la infracción de la privacidad de los datos y prevenir que vuelva suceder una infracción de la privacidad de los datos; además, la Compañía deberá tomar todas las medidas necesarias para cumplir con las leyes de protección de los datos y normas de la industria aplicables con el fin de contener y solucionar la infracción de la privacidad de los datos.
    3. Comunicaciones. La Compañía no deberá emitir ningún tipo de comunicación relacionada con una infracción de la privacidad de los datos de ninguna manera que permita identificar, o que pudiera razonablemente permitir identificar o revelar la identidad de Seagate sin su previa autorización.
    4. Preservación de pruebas. La Compañía deberá gestionar un plan de respuesta a incidentes. Tras la detección de una infracción de seguridad, la Compañía deberá conservar las pruebas relacionadas con la infracción y contar con una jerarquía de comando clara en virtud de un plan de respuesta a incidentes.
    5. Cooperación. La Compañía deberá cooperar con Seagate en cualquier litigio, investigación o causa en la que se ampare Seagate con el fin de proteger sus derechos respecto al uso, divulgación, protección y posesión de información personal perteneciente a Seagate. La Compañía acuerda además brindar la asistencia y cooperación razonables solicitadas por Seagate o los representantes designados de Seagate, a efectos de continuar con las correcciones, resoluciones o investigación de la infracción de la privacidad de los datos o la mitigación de los daños potenciales; esto incluye las notificaciones que Seagate estime pertinente enviar a los titulares de datos afectados, reguladores o terceros, o la prestación de un servicio de informes de crédito que Seagate juzgue adecuado proporcionar a los titulares de datos afectados. La Compañía será responsable de los gastos razonables incurridos por Seagate relacionados con la infracción de la privacidad de los datos; esto incluye, sin tratarse de una lista exhaustiva, resolución y notificación.
  7. DEVOLUCIÓN Y BORRADO SEGURO DE INFORMACIÓN PERSONAL PERTENECIENTE A SEAGATE
    1. La Compañía deberá cumplir con todas las instrucciones de Seagate para preservar la integridad de los datos; esto incluye: (a) deshacerse de la información personal perteneciente a Seagate en posesión de la Compañía pero que ya no le sea necesaria para prestar los servicios; (b) asegurarse de que la información personal perteneciente a Seagate creada por la Compañía en nombre de Seagate sea correcta y se mantenga vigente, y (c) a solicitud de Seagate, permitir que Seagate tenga acceso a cualquier Información personal de Seagate todo ello de conformidad con las leyes pertinentes.
    2. Devolución y eliminación de la información personal de Seagate. En caso de que ocurra lo primero de lo siguiente: (a) solicitud de Seagate; o (b) vencimiento o terminación anticipada de los Acuerdos entre las Partes o sus Afiliadas relacionadas con el Procesamiento de la Información Personal de Seagate, a la dirección de Seagate, la Compañía deberá, y deberá ordenar a sus Subprocesadores que, exporten la Información Personal de Seagate o proporcionen a Seagate, o a su tercero designado, la capacidad de exportar toda la Información Personal de Seagate en un formato legible por máquina e interoperable determinado por Seagate, a menos que la retención de la Información Personal de Seagate sea requerida por las Leyes de Protección de Datos. La Compañía mantendrá la Información Personal de Seagate durante el tiempo que Seagate determine que es razonablemente necesario para permitir que Seagate acceda y exporte completamente la Información Personal de Seagate, sin costo alguno para Seagate. Cada parte deberá identificar a una persona de contacto para migrar la Información Personal de Seagate y deberá trabajar con prontitud, diligencia y buena fe para facilitar una transferencia oportuna. Dentro de los 90 días posteriores a que Seagate: (a) confirme que la Información Personal de Seagate fue recibida y migrada correctamente; o (b) informe a la Compañía de su decisión de no migrar la Información Personal de Seagate, la Compañía y los Subprocesadores deberán destruir de forma segura toda la Información Personal de Seagate, desvincular los identificadores del espacio de trabajo de Seagate y sobrescribir con nuevos datos o destruir de otro modo la Información Personal de Seagate a través de un método de saneamiento aprobado.
    3. Destrucción de la información personal de Seagate.Si la Compañía se deshace de cualquier registro en papel, electrónico o de otro tipo que contenga Información personal de Seagate, lo hará tomando todas las medidas razonables (en función de la confidencialidad de la Información personal de Seagate) para destruir la Información personal de Seagate, a menos que la conservación de la Información personal de Seagate sea requerido por las leyes de protección de datos por: (a) triturado; (b) borrado y eliminación permanente; (c) desmagnetización; o (d) cualquier otra modificación de la Información Personal de Seagate en dichos registros para hacerla ilegible, irrecuperable e indescifrable. Si la Compañía desactiva o retira de otro modo un disco duro que contiene una copia de la Información Personal de Seagate, la Compañía deberá triturar o destruir de forma segura el disco, haciendo que la Información Personal de Seagate sea ilegible y destruida de acuerdo con NIST 800-88, revisión 1 (Directrices para la Sanitización de Medios) del Instituto Nacional de Estándares y Tecnología. La Compañía deberá certificar por escrito que el disco ha sido triturado o destruido y que la Información Personal de Seagate no puede ser leída, recuperada ni reconstruida de ninguna otra manera.
    4. Aviso de archivado. Si la Compañía tiene la obligación legal de conservar información personal perteneciente a Seagate fuera del período estipulado en este APD, la Compañía deberá notificar a Seagate por escrito de dicha obligación, no procesará más la Información personal perteneciente a Seagate más allá de retener dicha información para cumplir la obligación legal de la Compañía y devolver o destruir la información personal perteneciente a Seagate tan pronto culmine el período de archivado. Este APD permanecerá en vigor hasta que la Compañía haya dejado de tener custodia o control de información personal perteneciente a Seagate, o acceso a esta.
    5. Documentos. La Compañía deberá documentar el archivado o desecho de Información Personal perteneciente a Seagate conforme a lo dispuesto en este APD. Por solicitud de Seagate, la Compañía deberá suministrar documentación de archivado y certificación escrita de que la información personal perteneciente a Seagate se ha destruido de manera segura de conformidad con este APD.
  8. DISPOSICIONES GENERALES
    1. Plazo. Este APD permanecerá vigente hasta que: (a) no exista otro(s) Acuerdo(s) activo(s) entre las Partes; y (b) la Compañía haya dejado de tener la custodia, el control o el acceso a cualquier Información Personal de Seagate. La Compañía procesará la Información Personal de Seagate hasta que la relación finalice según lo especificado en el Acuerdo. Las obligaciones de la Compañía y los derechos de Seagate en virtud de este APD continuarán vigentes mientras la Compañía procese la Información Personal de Seagate.
    2. Orden de precedencia. En caso de discrepancias entre este DPA y cualquier Acuerdo(s) entre las parteso sus Afiliadas, prevalecerán las disposiciones de este DPA, excepto por cualquier discrepancia que involucre Anexo II (Normas de seguridad), en cuyo caso prevalecerán los demás Acuerdos, en la medida en que las normas de seguridad de los demás Acuerdos sean adicionales a los requisitos mínimos establecidos en el Anexo II. Este APD no tiene carácter limitante ni restrictivo respecto de las Cláusulas normativas, sino que se entiende que las complementa.
    3. Actualizaciones. La Empresa cooperará razonablemente para actualizar este APD según sea necesario para garantizar el cumplimiento de las leyes y regulaciones aplicables.
    4. Beneficiarios terceros. Las filiales de Seagate son beneficiarias terceras de este APD y pueden hacer cumplir sus términos como si cada una fuera signataria del mismo. Seagate también puede hacer cumplir las disposiciones de este APD en nombre de sus filiales, en lugar de que estas inicien una acción legal por separado contra la Compañía.
    5. Divulgación del APD a una autoridad supervisora. Seagate podría suministrar un resumen o una copia de este APD a una autoridad supervisora.
    6. Integridad del acuerdo. Si alguna disposición en este APD pierde vigor o adquiere nulidad, ello no afectará las disposiciones restantes. Las partes deberán reemplazar la disposición inefectiva o nula con una disposición lícita que refleje la finalidad de la disposición inefectiva o nula. En caso de que falte una disposición necesaria, las partes agregarán una disposición correspondiente de buena fe.
    7. Interpretación. Los títulos del presente APD son para fines de referencia exclusivamente y no deberán incidir en la interpretación del acuerdo.

ANEXO I

DESCRIPCIÓN DEL PROCESAMIENTO DE DATOS

 

Este Anexo I forma parte de las cláusulas estándar.

 

MÓDULO DOS: Transferencia: del controlador al procesador (relevante para la información personal de Seagate) (C2P)

 

    A. LISTA DE PARTES

     

    EXPORTADOR DE DATOS

    Nombre y dirección

    Firma de Seagate Technology LLC en nombre de las filiales y subsidiarias 47488 Kato Road, Fremont, CA, 94538

    Nombre y datos de contacto de la persona de contacto

    Firma de Seagate Technology LLC en nombre de las filiales y subsidiarias 47488 Kato Road, Fremont, CA, 94538

    Actividades relevantes para los datos transferidos en virtud de estas Cláusulas estándar

    Seagate Technology LLC, que firma en nombre de las filiales y subsidiarias, es un proveedor de productos de hardware y soluciones y servicios de software para respaldar los procesos comerciales de varios segmentos de la industria.

    Firma y fecha:

    Al celebrar los Acuerdos que incorporan este APD, se considera que el exportador de datos ha firmado estas Cláusulas estándar incorporadas en este documento, incluidos sus Anexos, a partir de la fecha de entrada en vigor de los Acuerdos.

     

    Rol del exportador de datos (controlador/procesador):

    Establecido en Section 2.1 (Estado de las partes) de este DPA.

    IMPORTADOR DE DATOS

    Nombre y dirección

    Nombre y dirección de la empresa (según se especifica en los Contratos)

     

    Nombre y datos de contacto de la persona de contacto

    Nombre y dirección de la empresa (según se especifica en los Contratos)

     

    Actividades relevantes para los datos transferidos en virtud de estas Cláusulas estándar

     

    La Compañía es una proveedora de servicios que proporciona servicios y soporte al exportador de datos, tal como se describe en los Contratos.

     

    Firma y fecha:

    Al celebrar los Acuerdos que incorporan este APD, se considera que el exportador de datos ha firmado estas Cláusulas estándar incorporadas en este documento, incluidos sus Anexos, a partir de la fecha de entrada en vigor de los Acuerdos.

     

    Rol de importador de datos

    Establecido en lasección 2.1 (Estado de las partes) de este DPA.

     

    B. DESCRIPCIÓN DE LA TRANSFERENCIA

     

    Categorías de sujetos de datos:

    Los datos personales transferidos pueden referirse a las siguientes categorías de interesados, tanto actuales como anteriores:

    • empleados, asesores, consultores, proveedores, contratistas, subcontratistas y agentes de Seagate;
    • socios comerciales y posibles socios comerciales de Seagate, y sus empleados, socios, asesores, consultores, proveedores, contratistas, subcontratistas y agentes;
    • posibles clientes potenciales de marketing y consumidores actuales y pasados;
    • socios comerciales y posibles socios comerciales de Seagate, y sus empleados, socios, asesores, consultores, proveedores, contratistas, subcontratistas y agentes;

     

    Categorías de datos personales transferidos

    Datos personales proporcionados por Seagate o en nombre de Seagate a la Empresa, o recopilados por la Empresa, que se relacionen con las Categorías de interesados establecidas anteriormente, según sea necesario para que la Empresa proporcione los Servicios a Seagate en virtud de los Acuerdos y de acuerdo con las instrucciones legales documentadas de Seagate, que pueden incluir información de contacto, como nombre, apellidos, dirección de correo electrónico, dirección comercial, número de teléfono y cualquier otro dato personal proporcionado por Seagate.

     

    Datos confidenciales transferidos (si corresponde) y restricciones o medidas de seguridad aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos involucrados:**

     

    Tal como se establece en los Acuerdos

    Frecuencia de la transferencia

    Continuo, a menos que se establezca lo contrario en los Acuerdos o en un documento entre las partes.

    Naturaleza del procesamiento/actividades de procesamiento

    Como se describe en los Contratos.

    Propósito de la transferencia y el procesamiento de datos

     

    Proporcionar los Servicios en virtud de los Acuerdos pertinentes.

     

    Período durante el cual se conservarán los datos personales o, si no es posible, los criterios utilizados para determinar ese período:

    Los datos personales se conservarán:

    (a) de conformidad con lasección 7.2 (Devolución y borrado de información personal perteneciente a Seagate) de este DPA; o

    (b) según lo exija la ley; o

    (c) o por la duración establecida en los Acuerdos u otro documento entre las partes que contenga la información relevante aplicable a los Servicios relevantes;

    el que sea más largo.

     

    Si se transfiere a subprocesadores, especifique también el objeto, la naturaleza y la duración del procesamiento.

    La Empresa deberá proporcionar el objeto, la naturaleza y la duración del procesamiento para las transferencias a los subprocesadores para [email protected] si esta información no está ya establecida en los Acuerdos o en un documento adicional acordado entre las partes.

     

    C. AUTORIDAD DE SUPERVISIÓN COMPETENTE

     

    La autoridad de control competente, de conformidad con la cláusula 13 de las Cláusulas Contractuales Tipo de la UE, es: (i) la autoridad de control aplicable al exportador de datos en su país de establecimiento del EEE; (ii) cuando el exportador de datos no esté establecido en el EEE, la autoridad de control aplicable en el país del EEE donde se haya designado al representante del exportador de datos en la UE de conformidad con el artículo 27(1) del RGPD de la UE; o (iii) cuando el exportador de datos no esté obligado a designar un representante, la autoridad de control aplicable en el país del EEE donde se encuentren los interesados ​​relevantes para la transferencia. Con respecto al tratamiento de datos personales al que se aplica el RGPD del Reino Unido, la autoridad de control competente es la Oficina del Comisionado de Información. Con respecto al tratamiento de datos personales al que se aplica el APD de Suiza, la autoridad de control competente es el Comisionado Federal Suizo de Protección de Datos e Información.

     

Anexo II

NORMAS DE SEGURIDAD

 

Este Anexo II forma parte de las cláusulas Estándar.

 

EsteAnexo IIrepresenta lasmedidas mínimas de seguridadque adoptará la Compañía. Si algún acuerdo entre las Partes exige que la Compañía implemente medidas de seguridad más estrictas o exhaustivas, la Compañía cumplirá con dichos términos. La Compañía debe mantener y aplicar diversas políticas, estándares y procesos diseñados para proteger la Información Personal de Seagate y otros datos de acuerdo con los estándares de la industria, como el Marco de Ciberseguridad 2.0 del Instituto Nacional de Estándares y Tecnología (NIST) y las normas ISO 27001 o 27002, a las cuales el personal de la Compañía tiene acceso.

 

  1. Políticas y normas de seguridad de la información. La Compañía deberá implementar requisitos de seguridad para su personal y todos los subcontratistas, Compañías o agentes que tengan acceso a información personal perteneciente a Seagate, con miras a:
    1. prevenir que personas no autorizadas tengan acceso a sistemas de procesamiento de la información personal perteneciente a Seagate (control del acceso físico);
    2. prevenir que los sistemas de procesamiento de información personal perteneciente a Seagate se utilicen sin autorización (control del acceso lógico);
    3. garantizar que las personas con derecho a usar un sistema de procesamiento de información personal perteneciente a Seagate solo puedan obtener acceso a las partes de dicha información a cuyo acceso tengan derecho, de conformidad con sus derechos de acceso aprobados, y que, durante el desarrollo de las actividades de procesamiento o uso y almacenamiento posterior de la información personal perteneciente a Seagate, esta no pueda leerse, copiarse, modificarse ni borrarse sin autorización (control del acceso a los datos);
    4. garantizar que la información personal perteneciente a Seagate no pueda leerse, copiarse, modificarse ni borrarse sin autorización durante su transmisión electrónica, transporte o almacenamiento, y que las entidades a las que está destinada la transferencia de información personal perteneciente a Seagate por medio de establecimientos de transmisión de datos puedan identificarse y verificarse (control de la transferencia de datos);
    5. garantizar que se establezca un rastro documental para fines de auditoría a efectos de documentar si ha habido accesos, modificaciones, transferencias o borrados de información personal perteneciente a Seagate en el procesamiento de dicha información y quién los ha realizado (control de acceso);
    6. garantizar que la información personal perteneciente a Seagate se procese únicamente conforme a las instrucciones (control de las instrucciones);
    7. garantizar que la información personal perteneciente a Seagate esté protegida de la destrucción o pérdida accidental (control de la disponibilidad), y
    8. garantizar que la información personal perteneciente a Seagate recopilada para distintos fines pueda procesarse de forma individual (control de la separación).

    La Compañía deberá realizar valoraciones y revisiones de riesgos periódicas y, conforme resulte pertinente, modificar sus prácticas de seguridad de la información como mínimo una vez al año o cuando se produzcan cambios significativos en las prácticas comerciales de la Compañía que podrían incidir en una medida razonable en la seguridad, la confidencialidad o la integridad de la información personal perteneciente a Seagate, siempre y cuando la Compañía no modifique sus prácticas de seguridad de la información de un modo que socave o comprometa la confidencialidad, disponibilidad o integridad de la información personal perteneciente a Seagate.

  2. Seguridad Física. La Compañía deberá establecer sistemas de seguridad comercialmente razonables en sus establecimientos donde se ubique un sistema de información en el cual se utilice o almacene información personal perteneciente a Seagate. La Compañía deberá restringir el acceso de modo razonable a dicha información personal perteneciente a Seagate conforme corresponda.
  3. Seguridad organizacional.
    1. A la hora de desechar soportes o reutilizarse, deberán implementarse procedimientos destinados a prevenir la recuperación posterior de la información personal perteneciente a Seagate que esté almacenada en ellos antes de que se retiren del inventario. Cuando un soporte deba salir de los predios donde se encuentran los archivos por operaciones de mantenimiento, deberán implementarse procedimientos a fin de prevenir la recuperación indebida de información personal perteneciente a Seagate guardada en el soporte.
    2. La Compañía deberá implementar políticas y procedimientos de seguridad a efectos de clasificar los activos de información, aclarar las responsabilidades de seguridad y promover la toma de conciencia entre los empleados.
    3. Todos los incidentes de seguridad con información personal perteneciente a Seagate deberán gestionarse de conformidad con los procedimientos de respuesta a incidentes adecuados.
    4. La Compañía deberá cifrar toda la información confidencial durante su tránsito y en reposo por medio de herramientas de cifrado normativas de la industria.
  4. Seguridad de la Red. La Compañía deberá mantener la seguridad de la red por medio de equipo disponible en el mercado y técnicas normativas de la industria, tales como cortafuegos, sistemas de detección y prevención de intrusiones, listas de control de acceso y protocolos de enrutamiento.
  5. Control de acceso. La Compañía deberá establecer controles de acceso adecuados; esto incluye, a modo de ejemplo, restricción del acceso a la información personal perteneciente a Seagate a un número mínimo de personal de la Compañía que necesite tener acceso.
    1. Solo personal autorizado podrá otorgar, modificar o revocar el acceso a un sistema de información en el que se use o almacene información personal perteneciente a Seagate. La Compañía deberá mantener registros de acceso adecuados, los cuales deberá suministrar a Seagate si Seagate lo solicita.
    2. Los procedimientos de administración de usuarios deberán definir los roles de usuarios y sus privilegios, así como la forma de otorgar, cambiar y anular el acceso; abordar la segregación de deberes correspondientes y definir los requisitos y mecanismos de registro y control.
    3. A todos los empleados de la Compañía se les deberá asignar identificaciones de usuarios individuales.
    4. Los derechos de acceso deben implementarse de conformidad con la técnica de “privilegio mínimo”.
    5. La Compañía deberá implementar medidas de seguridad física y electrónica comercialmente razonables para la creación y protección de contraseñas.
  6. Controles contra virus y programas maliciosos. La Compañía deberá instalar y mantener en el sistema el software de protección antivirus y contra programas maliciosos (“malware”) más reciente y contar con medidas de supervisión de programas maliciosos y análisis del sistema en fechas programadas a fin de proteger la información personal perteneciente a Seagate de las amenazas o peligros anticipados y proteger dicha información personal del acceso o uso no autorizado.
  7. Personal. Antes de proporcionar acceso a información personal perteneciente a Seagate al personal de la Compañía, la Compañía debe exigirle a su personal que cumpla con el programa de seguridad de la información de la Compañía. La Compañía deberá implementar un programa de toma de conciencia sobre medidas de seguridad a fin de capacitar al personal acerca de sus obligaciones de seguridad. Este programa incluirá capacitación acerca de las obligaciones de clasificación de los datos, los controles de seguridad física, las prácticas de seguridad y los informes de incidentes de seguridad. La Compañía deberá tener roles y responsabilidades claramente definidos para sus empleados. Deberán implementarse medidas de preselección antes de dar empleo y deberán aplicarse los términos y condiciones de empleo debidamente. Los empleados de la Compañía deberán regirse estrictamente por las políticas y procedimientos de privacidad. Deberá aplicarse un proceso disciplinario si los empleados cometen una infracción a la privacidad de los datos.
  8. Continuidad del negocio. La Compañía deberá implementar planes adecuados para copias de seguridad y recuperación ante desastres, así como de reanudación de las actividades comerciales. La Compañía deberá revisar el plan de continuidad comercial y las valoraciones de riesgos de forma regular. Se deberán probar y actualizar los planes de continuidad comercial de manera periódica a fin de garantizar que estén al día y sean eficaces.
  9. Gerente de seguridad principal. La Compañía debe notificar a Seagate quién será su gerente de seguridad principal designado. El gerente de seguridad será responsable de administrar y coordinar el cumplimiento de las obligaciones de la Compañía establecidas en el programa de seguridad de la información de la Compañía y en este DPA.
  10. Auditoría. Seagate se reserva el derecho de auditar los compromisos de la Compañía según lo establecido en este  Anexo II, de acuerdo con laSección 5.3 ( Auditoría) de este DPA.
  11. Incumplimiento. Si se determina que la Compañía ha incumplido este DPA la Compañía deberá subsanar dicho incumplimiento sin demora indebida y, en cualquier caso, dentro de los 30 días naturales. Cualquier incumplimiento de la privacidad de los datos conocido o sospechado se regirá por laSección 6 (RESPONSABILIDADES DE LA COMPAÑÍA DESPUÉS DE UNA INFRACCIÓN DE LA PRIVACIDAD DE LOS DATOS) de este DPA.

Anexo III

REQUISITOS DE LA PRIVACIDAD DE LOS DATOS PARA JURISDICCIONES ESPECÍFICAS

 

Los siguientes requisitos se aplican a las jurisdicciones indicadas:

 

  1. AUSTRALIA
    1. Aplicabilidad. Las disposiciones de estaSección 1se aplicarán cuando: (a) la Compañía reciba o acceda a Información Personal de Seagate de una filial de Seagate ubicada en Australia; o (b) Seagate notifique a la Compañía que la Información Personal de Seagate está sujeta a estos requisitos.
    2. Afiliación a una asociación profesional o gremial. El término “información sensible” también incluye información personal sobre la afiliación de un individuo a una asociación profesional o gremial.
    3. Principios de privacidad australianos. La Compañía debe cumplir con todas las obligaciones aplicables en virtud de la Ley de privacidad de 1988 (Cth), incluidos los “Principios de privacidad australianos”, cuando trate con información personal de Seagate o preste los servicios de conformidad con este DPA.
    4. Aviso de uso o divulgación para fines de cumplimiento. Si la Compañía utiliza o divulga Información personal para una o más actividades de cumplimiento llevadas a cabo por, o en nombre de, un organismo de cumplimiento, la Compañía deberá mantener un registro escrito del uso y la divulgación y proporcionar de inmediato una copia del registro a Seagate, a menos que lo prohíba la ley.
    5. En caso de que la información personal incluya identificadores relacionados con el gobierno australiano, La Compañía: (a) no deberá adoptar el identificador relacionado con el gobierno australiano en el caso de un particular como el identificador del particular, a menos que Seagate le instruya explícitamente que lo haga y (b) no deberá utilizar ni divulgar el identificador relacionado con el gobierno australiano, excepto si es razonablemente necesario para verificar la identidad del particular o si Seagate le instruye que lo haga.
    6. Cuando las instrucciones de Seagate a la Compañía requieran que este recopile información personal en nombre de Seagate, la Compañía debe (a) pedir instrucciones a Seagate respecto de (i) la información que debe proporcionarse al titular de los datos respecto de la obtención de información personal que le corresponde a dicho titular; y (ii) los consentimientos de inclusión requeridos para fines de mercadeo directo; y (b) abstenerse de recopilar información confidencial o sin el consentimiento del titular de los datos;
    7. Acuerdos de la Compañía con el gobierno australiano. Si Seagate es un prestador de servicios contratado por una entidad gubernamental australiana a nivel federal, estatal o territorial, y en la medida en que Seagate esté obligado a cumplir con obligaciones adicionales de protección de los datos en virtud de un acuerdo con la entidad gubernamental pertinente, Seagate impondrá obligaciones equivalentes a la Compañía, conforme lo exijan las leyes australianas aplicables. En caso de ser necesario, Seagate y la Compañía acuerdan formalizar acuerdos adicionales a efectos de reflejar dichas obligaciones.
  2. CHINA
    1. Aplicabilidad. Las disposiciones de estaSección 2se aplican cuando la Compañía recibe o accede a Información Personal de Seagate procedente de una filial de Seagate ubicada en China, o cuando Seagate notifica a la Compañía que la Información Personal de Seagate está sujeta a estos requisitos.
    2. Funciones de la PIPL. Conforme a la Ley de Protección de Datos Personales de la República Popular China, Seagate actuará como "Encargado del Tratamiento de Datos Personales", quien decidirá los fines y las formas de tratamiento. La Compañía será la "Parte Encargada" que tratará los Datos Personales en nombre de Seagate de acuerdo con los requisitos de este DPA y las instrucciones de Seagate.
    3. Subprocesadores. No obstante lo dispuesto en laSección 2.4 (Limitaciones de procesamiento) del DPA, la Compañía no contratará a ningún subprocesador para procesar información personal de Seagate sin el consentimiento expreso de Seagate. Los términos de dicho consentimiento están sujetos a la Sección 2.5 (Requisitos de procesamiento) del DPA. 
    4. Tiempo de procesamiento limitado. La Compañía deberá procesar la información personal perteneciente a Seagate solo por el periodo de tiempo necesario para lograr los fines del procesamiento, a menos que las partes hayan acordado un plazo distinto.
    5. Transferencias restringidas. La Compañía no transferirá Información Personal de Seagate fuera de China sin el consentimiento expreso de Seagate si dicha Información Personal de Seagate se almacena o conserva en China. Seagate otorga su consentimiento para que la Compañía transfiera dicha Información Personal de Seagate cuando sea necesario, siempre que la Compañía haya adoptado todas las medidas necesarias para cumplir con las Leyes de Protección de Datos para la protección de dicha Información Personal de Seagate.
  3. INDIA
    1. Aplicabilidad. Las disposiciones de estaSección 3se aplican cuando la Ley de Tecnologías de la Información de 2000 y el Reglamento de Tecnologías de la Información (Prácticas y Procedimientos de Seguridad Razonables y Datos o Información Personal Sensible) de 2011 (“Normas de privacidad”) según se modifique y reemplace periódicamente, se aplica al procesamiento por parte de la Compañía de la información personal de Seagate proporcionada por una filial de Seagate en India, independientemente de si el procesamiento se lleva a cabo en India.
    2. La sección 1.12del DPA deberá modificarse para incluir las categorías de Información Personal especificadas en la Sección 3 de las Normas de Privacidad.
  4. JAPÓN
    1. Aplicabilidad. Las disposiciones de estaSección 4se aplican a la información personal de Seagate que la Compañía recibe o a la que accede de una filial de Seagate ubicada en Japón.
    2. Personal de la empresa. La Compañía será responsable de supervisar al personal de la Compañía en su cumplimiento con el APD.
    3. Medidas de gestión del empleo. La empresa protegerá la información personal de Seagate relacionada con la gestión del empleo según lo dispuesto en las “Directrices de gestión del empleo” del Ministerio de Salud, Trabajo y Bienestar.
    4. Información personal obtenida en el empleo. El proveedor deberá asegurarse de que sus empleados no divulguen ni adquieran indebidamente información personal perteneciente a Seagate obtenida por medio de su empleo.
    5. Consentimiento previo a la transferencia o divulgación. El proveedor deberá obtener el consentimiento previo por escrito de Seagate para divulgar o transferir números de seguro social y fiscales a entidades externas (lo que incluye filiales) que no sean una de las partes de este APD, incluidos los subprocesadores.
    6. Devolución o destrucción tras la consecución de la finalidad. El proveedor deberá dejar de procesar la información personal perteneciente a Seagate en su posesión y devolverla o destruirla una vez haya logrado la finalidad para la que se obtuvo.
    7. Finalidad de copias de seguridad. El proveedor no deberá copiar ni reproducir información personal perteneciente a Seagate, salvo para fines de realizar copias de seguridad.
  5. COREA DEL SUR
    1. Aplicabilidad. Las disposiciones de estaSección 5se aplican a la información personal de Seagate que la Compañía recibe o a la que accede de una filial de Seagate ubicada en Corea del Sur.
    2. Acceso limitado. La Compañía limitará el acceso a la Información personal al personal de la Compañía que razonablemente requiera dicho acceso para los fines del procesamiento.
    3. Protecciones obligatorias. La Compañía deberá establecer y hacer cumplir diversas protecciones, que incluyen las siguientes:
      1. procedimientos internos para el manejo seguro de información personal;
      2. protecciones tecnológicas como cortafuegos y software antivirus y contra programas informáticos maliciosos;
      3. restricciones físicas de acceso, como candados;
      4. medidas para prevenir la alteración o falsificación de los registros de acceso o de los registros de procesamiento; y
      5. medidas para almacenar y transmitir de forma segura la Información Personal, como el cifrado de la Información Personal cuando así lo exija la Ley de Protección de la Información Personal (“PIPA”), el “Reglamento de Aplicación” de la PIPA, la Ley de Promoción de la Utilización de la Red de Información y Comunicaciones y la Protección de la Información (“PICNU”), el “Reglamento de Aplicación” de la PICNU, la Ley de Utilización y Protección de la Información Crediticia u otra ley coreana, según corresponda.
    4. Cifrado de datos de identificación particulares. La Compañía deberá cifrar los números de registro de residente, permisos de conducir y de pasaporte al momento de:
      1. transmitirlos por medio de una red de información o comunicaciones;
      2. almacenarlos en medios de almacenamiento portátiles o complementarios;
      3. almacenarlos en una red informática externa, o en una zona desmilitarizada, o en una computadora personal o dispositivo móvil, o
      4. almacenarlos en la red interna de la Compañía si los sistemas de este no logran cumplir con los criterios de riesgo estipulados por Seagate.
    5. Cifrado de contraseñas y datos biométricos. La Compañía deberá cifrar todas las contraseñas y datos biométricos almacenados en cualquier forma.
    6. Información previa a la divulgación. Antes de divulgar o transferir información personal perteneciente a Seagate a un procesador de datos externo, la Compañía deberá informar a Seagate con un tiempo de antelación razonable. A petición de Seagate, la Compañía facilitará la siguiente información: (a) las actividades de Procesamiento que se subcontratarán; (b) la identidad del procesador de datos externo, y (c) los cambios que se produzcan en (a) o (b).
    7. Capacitación. La Compañía deberá participar en las capacitaciones que Seagate opte por proveerle a la Compañía para evitar que la información personal perteneciente a Seagate sea robada, divulgada, alterada o dañada durante las actividades de procesamiento de información personal perteneciente a Seagate.
  6. SINGAPUR
    1. Aplicabilidad. Las disposiciones de estaSección 6se aplicarán cuando la Ley de Protección de Datos Personales de Singapur de 2012 (n.º 26 de 2012) sea aplicable al procesamiento de información personal de Seagate por parte de la empresa.
    2. Section 1.3 de la APD se sustituirá por lo siguiente:

      1.3 "Violación de la privacidad de los datos” se refiere a cualquier brecha de seguridad que conduzca a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada, acceso a, adquisición de Información personal de Seagate, lo que incluye: (a) el acceso, la recopilación, el uso, la divulgación, la copia, la modificación o la eliminación no autorizados de la Información personal de Seagate; o (b) la pérdida de cualquier medio de almacenamiento o dispositivo en el que se almacene la Información personal de Seagate en circunstancias en las que sea probable que se produzca el acceso, la recopilación, el uso, la divulgación, la copia, la modificación o la eliminación no autorizados de la Información personal de Seagate.

    3. Sección 6.1(La notificación de violación de la privacidad de datos) de la APD se sustituirá por lo siguiente:

      6.1 Notificación de una infracción de la privacidad de los datos. Cuando la Empresa tenga motivos para creer que se ha producido una Infracción de la privacidad de los datos, la Empresa deberá notificar a Seagate por escrito de la Infracción de la privacidad de los datos sin demora indebida, y deberá:

      1. investigar o proporcionar la asistencia requerida en la investigación de la infracción de la privacidad de los datos;
      2. proporcionar a Seagate información sobre la Infracción de la privacidad de los datos y proporcionar de inmediato información adicional relevante a medida que esté disponible; y
      3. tomar medidas comercialmente razonables para contener la Infracción de la privacidad de los datos, mitigar los efectos de la Infracción de la privacidad de los datos o ayudar a Seagate a hacerlo a expensas de la Empresa.
  7. TAIWÁN
    1. Aplicabilidad. Las disposiciones de estaSección 7se aplican a la información personal de Seagate que la Compañía recibe o a la que accede de una filial de Seagate ubicada en Taiwán.
    2. Subprocesadores. No obstante lo dispuesto en laSección 2.4(Limitaciones en el procesamiento) del DPA, la Compañía no divulgará ni transferirá la Información Personal de Seagate ni permitirá el acceso a la Información Personal de Seagate a ningún subprocesador sin el consentimiento expreso por escrito de Seagate.
    3. Tiempo de procesamiento limitado. La Compañía deberá procesar la información personal perteneciente a Seagate solo por el periodo de tiempo necesario para lograr los fines del procesamiento, a menos que las partes hayan acordado un plazo distinto.
    4. Conservación de registros de acceso. La Compañía deberá conservar registros de acceso durante el tiempo que sea necesario con el fin de garantizar que se revisen de forma periódica para detectar instancias de acceso no autorizado.
  8. TAILANDIA
    1. Aplicabilidad. Las disposiciones de estaSección 8se aplican cuando la Ley de Protección de Datos Personales de Tailandia, BE 2562 (2019) (“PDPA”), en su versión modificada y sustituida periódicamente, se aplique a la Información Personal de Seagate que la Compañía reciba o a la que acceda de una filial de Seagate ubicada en Tailandia.
    2. La cláusula 1.3 del APD se sustituirá por lo siguiente:

      1.3 "Violación de la privacidad de los datos” se refiere a una infracción de las medidas de seguridad que provoca la pérdida, el acceso, el uso, la modificación o la divulgación de datos personales de forma ilícita o sin autorización, como resultado de un acto intencional, deliberado, negligente, accidental, no autorizado o ilegal, o un acto relacionado con delitos informáticos, amenazas cibernéticas, errores o accidentes, o cualquier otro acto, según lo prescrito por la notificación emitida en virtud de la PDPA.

    3. La sección 1.12 del APD se modificará para incluir las categorías de datos personales especificadas en la Sección 26 de las Reglas de privacidad.
    4. Estándares de seguridad. La empresa hará sus mejores esfuerzos y tomará todas las medidas razonables para implementar y mantener estándares de seguridad que, como mínimo, estarán de acuerdo con los requisitos en elAnexo II(Estándares de seguridad) y con las disposiciones y requisitos estipulados en la PDPA y cualquier otra norma, reglamento, notificación y/u orden emitida en virtud de la misma, incluyendo sin limitación, la “Notificación del Comité de Protección de Datos Personales sobre: Medidas de seguridad del responsable del tratamiento de datos BE 2565 (2022)”, según pueda ser modificado, complementado o sustituido periódicamente.  

El Acuerdo de Privacidad de Datos entra en vigor a partir del 1 de junio de 2025. Las versiones anteriores se pueden encontrar de la siguiente manera:

 

Publicado el 31 de julio de 2025

Publicado el 20 de junio de 2024

Publicado el 8 de diciembre de 2022

INFORME DE DATOS DE DESCARBONIZACIÓN

Sostenibilidad de los centros de datos en la era de la IA
Acerca de Seagate Nuestra historia  Sostenibilidad  Centro de Confianza  Control de calidad 
Soporte  Soporte de productos  Descargas de software de Seagate  Descargas de software de LaCie  Registro de productos Seagate  Registro de productos LaCie  Garantía y Reemplazos  Seagate Systems  Contáctenos 
Recursos de noticias Sala de prensa  Historias de Seagate  Blog 
Inversionistas 
Socios  Socios indirectos y revendedores  Seagate Direct y proveedores  Seagate Technology Alliance Program 
Trabajos  La vida en Seagate  Cultura de Seagate  Programas universitarios 
Dónde comprar  Buscador de productos 
Facebook logo LinkedIn logo YouTube logo X logo Instagram logo
©2026 Seagate Technology LLC Legal Privacidad Divulgación de vulnerabilidades
Mapa del sitio Portal de la marca Seagate