Anexo de protección de datos

Fecha de entrada en vigor: 30 junio 2023

Este Anexo de protección de datos se refiere a y forma parte integral de las Condiciones del servicio de NextRoll y de cualquier Anexo a los servicios aplicable entre NextRoll, Inc., en nombre y representación suya y de NextRoll Limited (en su conjunto, "NextRoll"), y el Cliente. Entrará en vigor al aceptar las Condiciones del servicio.

Cuando la Ley de protección de datos aplicable proteja los datos personales tratados en virtud del Acuerdo, los Clientes podrán suscribir el presente Anexo de protección de datos (que incorpora las Cláusulas contractuales tipo): (i) para proteger los datos personales de conformidad con los requisitos de la Ley de protección de datos aplicable; (ii) para cumplir con las Leyes de protección de datos aplicables que requieren un contrato para regir los procedimientos de procesamiento de datos del procesador o de terceros con respecto al procesamiento realizado en nombre del controlador; y (iii) para proporcionar las garantías adecuadas con respecto a las Transferencias restringidas de datos personales fuera de los territorios europeos.

Este Anexo de protección de datos refleja el acuerdo de las partes en lo que respecta a las condiciones que gobiernan el tratamiento de datos personales bajo el Acuerdo.

1. DEFINICIONES

En este Anexo de protección de datos, los siguientes términos tendrán los siguientes significados:

“Empresa”, “consumidor”, “contratista”, “responsable”, “publicidad conductual en contextos cruzados”, “interesado”, “datos personales”, “información personal”, “tratar (tratamiento)”, “venta” ( incluidos los términos “vender”, “venta”, “vendido” y otras variantes de los mismos), “proveedor de servicios” o “tercero” tendrán los significados que se dan en las Leyes de protección de datos aplicables.
"Datos de CRM del cliente" hace referencia a cualquier dirección de correo electrónico, nombre, cargo, historial de contactos, historial de pedidos u otros datos de CRM acerca de los Usuarios finales sin procesar (es decir, texto sin formato y sin hash) que proporcione el Cliente, se obtengan a través de integraciones de terceros con los servicios o que obtenga NextRoll en nombre del Cliente en relación con los servicios. Los Datos de CRM del cliente no incluyen los Datos de servicio ni los Informes de rendimiento, tal y como se establece en las definiciones de las "Condiciones del servicio" de NextRoll.
"Datos personales del cliente" hace referencia a los Datos personales que contienen los Datos de CRM del cliente y los Datos de servicio.
"Ley de protección de datos aplicable" hace referencia a cualquier ley, norma y reglamento aplicable en vigor en ese momento en relación con la privacidad, el procesamiento, el uso, la protección y la seguridad de los datos o la confidencialidad, incluido, sin limitación, el Reglamento 2016/679 del Parlamento y del Consejo Europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) (el "RGPD de la UE"); el RGPD de la UE tal como se incorporó a la legislación del Reino Unido en virtud de la Sección 3 de la Ley de la Unión Europea (retirada) del Reino Unido de 2018 (el "RGPD del Reino Unido"); la Directiva de privacidad electrónica de la UE (Directiva 2002/58/CE); la Ley de Privacidad del Consumidor de California de 2018, en su versión modificada, y cualquier reglamento promulgado en virtud de la misma ("CCPA"); la Ley de Protección de Datos del Consumidor de Virginia ("VCDPA"); la Ley de Privacidad de Colorado y los reglamentos relacionados ("CPA"); la Ley de Privacidad del Consumidor de Utah ("UCPA"); la Ley de Connecticut relativa a la privacidad de los datos personales y la supervisión en línea ("CTDPA"), y cualquier otra ley de privacidad de datos estatal o federal de EE. UU. en vigor (en conjunto, "Leyes de privacidad de datos de EE. UU.").
"Transferencia restringida" significa: (i) en los casos donde se aplica el RGPD de la UE, una transferencia de datos personales del Espacio Económico Europeo a un país fuera del Espacio Económico Europeo que no está sujeto a una determinación de adecuación de la Comisión Europea, y (ii) en los casos donde se aplica el RGPD del Reino Unido, una transferencia de datos del Reino Unido a cualquier otro país no sujeto a regulaciones de adecuación de conformidad con la Sección 17A de la ley de protección de datos del Reino Unido de 2018.
"Datos de servicio" hace referencia a los datos que NextRoll recopila de los Usuarios finales utilizando la Tecnología en los Sitios del cliente, incluidos los datos obtenidos de terceros durante la prestación de los servicios. Los Datos de servicio no incluyen los Datos de CRM del cliente. Si el Cliente acepta los servicios multidispositivo o utiliza los servicios de ABM de RollWorks que autorizan a NextRoll a aplicar hash a las direcciones de correo electrónico de los Usuarios finales de los Sitios del cliente, dichas direcciones de correo electrónico con hash de los Usuarios finales constituirán Datos de servicio. (Esta es la definición que se establece en las Condiciones del servicio que rigen el acuerdo de las partes).
"Cláusulas contractuales tipo" significa: (i) en los casos donde se aplica el RGPD de la UE, las cláusulas contractuales anexas a la Decisión de Ejecución 2021/914 del 4 de junio de 2021 de la Comisión Europea sobre cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento y del Consejo Europeo ("CCT de la UE"); y (ii) en los casos donde se aplica el RGPD del Reino Unido, el Anexo a las Cláusulas contractuales tipo de la Comisión Europea emitido por el Comisionado de Información del Reino Unido en cuanto a la transferencia internacional de datos, versión B1.0, en vigor desde el 21 de marzo de 2022("CCT del Reino Unido").

Cualquier otro término en mayúsculas no definido en este Anexo de protección de datos tendrá el significado otorgado en el Acuerdo.

2. RELACIÓN ENTRE LAS PARTES

Cuando el Cliente es el "responsable del tratamiento" en virtud de la Ley de Protección de Datos Aplicable, el Cliente designa a NextRoll como encargado del tratamiento para procesar los Datos de CRM del Cliente, tal y como se describe con más detalle en el Anexo I.

Cuando el Cliente es una "empresa" en virtud de la Ley de Protección de Datos Aplicable, el Cliente pone los Datos de CRM del Cliente a disposición de NextRoll con el fin de proporcionar publicidad conductual en contextos cruzados al Cliente y NextRoll es un Tercero en virtud de la Ley de Protección de Datos Aplicable, ya que la publicidad conductual en contextos cruzados no es un fin comercial permitido para un contratista o proveedor de servicios en virtud de la Ley de Protección de Datos Aplicable.

Cada una de las partes es responsable del tratamiento de los datos que comprenden los Datos de servicio, en la medida en que dichos Datos de servicio se encuentren bajo su respectiva custodia o control, y siempre que lo anterior no tenga por objeto alterar, modificar ni limitar (a) las obligaciones de cualquiera de las partes con respecto a los avisos, las autorizaciones y los consentimientos relacionados con dichos Datos de servicio, tal y como se establece en las Condiciones del servicio, (b) los derechos de cualquiera de las partes a acceder, usar, poseer o modificar dichos Datos de servicio, tal y como se establece también en las Condiciones del servicio, o (c) las obligaciones de responsabilidad conjunta de cualquiera de las partes que puedan imponerse por ley, como la obtención de consentimiento para cumplir con la Ley de protección de datos aplicable.

3. DATOS PROHIBIDOS

El Cliente no debe revelar ningún dato personal de categorías especiales (como se define en la Ley de protección de datos aplicable) a NextRoll para su tratamiento.

4. LIMITACIÓN DE LA FINALIDAD

NextRoll tratará los Datos de CRM del cliente como encargado del tratamiento para los fines descritos en el Anexo I a fin de cumplir con sus obligaciones bajo el Acuerdo, de conformidad con la Ley de protección de datos aplicable, y estrictamente conforme a las instrucciones documentadas del Cliente (la "Finalidad permitida"), salvo cuando se requiera lo contrario mediante una ley o leyes que no sean incompatibles con la Ley de protección de datos aplicable. NextRoll no tratará en ningún caso los Datos de CRM del cliente para sus propios fines ni para los de ningún tercero. NextRoll informará inmediatamente al Cliente si llega a su conocimiento que las instrucciones de tratamiento del Cliente infringen la Ley de protección de datos aplicable.

5. TRANSFERENCIAS RESTRINGIDAS

5.1. Las partes acuerdan que, en los casos en los que la transferencia de Datos personales del cliente por parte del Cliente a NextRoll sea una Transferencia restringida, quedará sujeta a las Cláusulas contractuales tipo (CCT) como se establece en esta cláusula 5.

5.2. En relación a los Datos de servicio que están protegidos bajo el RGPD de la UE, las CCT de la UE se aplicarán completas de la siguiente forma:

Se aplicará el Módulo Uno;
en la Cláusula 7, se aplicará la cláusula de incorporación opcional;
en la Cláusula 17, se aplicará la Opción 1 y las CCT de la UE se regirán por la ley irlandesa;
en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;
el Anexo I de las CCT de la UE se considerará completado con la información incluida en el Anexo I de este Anexo de protección de datos; y
el Anexo II de las CCT de la UE se considerará completado con la información incluida en el Anexo II de este Anexo de protección de datos.

5.3. En relación a los Datos de CRM del cliente que están protegidos bajo el RGPD de la UE, las CCT de la UE se aplicarán completas de la siguiente forma:

Se aplicará el Módulo Dos;
en la Cláusula 7, se aplicará la cláusula de incorporación opcional;
en la Cláusula 9, se aplicará la opción 2, y el periodo de tiempo para la autorización previa de cambios del subencargado del tratamiento será el establecido en la cláusula 8.3 de este Anexo de protección de datos;
en la Cláusula 11, el idioma opcional no se aplicará;
en la Cláusula 17, se aplicará la Opción 1 y las CCT de la UE se regirán por la ley irlandesa;
en la Cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda;
el Anexo I de las CCT de la UE se considerará completado con la información incluida en el Anexo I de este Anexo de protección de datos; y
el Anexo II de las CCT de la UE se considerará completado con la información incluida en el Anexo II de este Anexo de protección de datos.

5.4. En relación con los Datos de CRM del cliente y los Datos de servicio que están protegidos bajo el RGPD del Reino Unido, se aplicarán las CCT del Reino Unido y se considerarán ejecutadas entre el Cliente y NextRoll, con las Tablas de las CCT del Reino Unido completadas de la siguiente manera:

Tabla 1: Las Partes son las que se establecen en el Anexo I.A de este Anexo de protección de datos, así como sus afiliados en la medida en que estén involucrados en dicha transferencia. El contacto principal de cada Parte será el que figura en el Anexo I.A del presente Anexo de protección de datos.
Tabla 2: Las Cláusulas contractuales tipo aprobadas de la UE a las que se hace referencia en la Tabla 2 son las CCT de la UE, las cuales se aplicarán completas según lo establecido anteriormente en las cláusulas 5.2 (para transferencias de Datos de servicio) o 5.3 (para transferencias de Datos de CRM del cliente) de este Anexo de protección de datos en función del tipo de datos transferidos.
Tabla 3: Los Anexos IA, IB y II se recogen en los Anexos I y II del presente Anexo de protección de datos. El Anexo III no es aplicable.
Tabla 4: NextRoll puede rescindir las Cláusulas contractuales tipo del Reino Unido, tal y como se establece en la sección 19 de las CCT del Reino Unido.

5.5. En caso de que cualquier disposición de este Anexo de protección de datos o del Acuerdo contradiga las Cláusulas contractuales tipo de manera directa o indirecta, las Cláusulas contractuales tipo prevalecerán.

6. CONFIDENCIALIDAD DEL TRATAMIENTO

NextRoll se asegurará de que cualquier persona a la que autorice para tratar los Datos personales del cliente, incluyendo al personal de NextRoll, agentes y subencargados del tratamiento (una "Persona autorizada") estará sujeta a un estricto deber de confidencialidad (ya sea contractual o legal) y no permitirá tratar los Datos personales del cliente a ninguna persona que no esté sujeta a dicho deber de confidencialidad. NextRoll se asegurará de que todas las personas autorizadas tratan los Datos personales del cliente solo en la medida necesaria para la Finalidad permitida.

7. SEGURIDAD

NextRoll implementará las medidas técnicas y organizativas apropiadas para proteger los Datos personales del cliente frente a la destrucción, pérdida, alteración o revelación o acceso no autorizados, accidentales o ilícitos ("Incidente de seguridad"). Dichas medidas deben tener en cuenta las últimas actualizaciones, los costes de implementación y la naturaleza, alcance, contexto y fines del tratamiento, así como los riesgos de diferente probabilidad y gravedad respecto a los derechos y libertades de las personas físicas.

Como mínimo, dichas medidas deberán incluir las medidas identificadas en el Anexo II.

8. SUBTRATAMIENTO

8.1. Esta cláusula 8 se aplica únicamente al tratamiento de los Datos de CRM del cliente por parte de NextRoll, y no al tratamiento de los Datos de servicio por parte de NextRoll.

8.2. El Cliente consiente al uso por parte de NextRoll de los subencargados del tratamiento identificados en la URL https://www.nextroll.com/terms/data-protection/subprocessors ("Página de subencargados") para tratar los Datos de CRM del cliente.

8.3. El Cliente consiente a que NextRoll recurra a subencargados del tratamiento externos adicionales o sustitutos para tratar los Datos de CRM del cliente, siempre y cuando: (i) NextRoll actualice su Página de subencargados con los detalles de cualquier cambio propuesto en los subencargados con al menos catorce (14) días de antelación al nombramiento o sustitución de un subencargado del tratamiento (el Cliente puede suscribirse a la fuente RSS de la Página de subencargados para que se le notifiquen automáticamente dichos cambios); (ii) NextRoll imponga a cualquier subencargado que nombre condiciones de protección de datos que protejan los Datos de CRM del cliente esencialmente al mismo nivel que este Anexo de protección de datos, y (iii) NextRoll siga siendo completamente responsable de cualquier incumplimiento de esta cláusula causado por un acto, error u omisión de su subencargado.

8.4. Si el Cliente se opone al nombramiento de un subencargado del tratamiento adicional o sustituto por motivos razonables relacionados con la protección de los Datos de CRM de cliente, entonces NextRoll no nombrará al subencargado o, si esto no fuera posible, el Cliente podrá decidir suspender o finalizar el Servicio afectado (sin perjuicio de las tarifas en las que haya incurrido el Cliente antes de la suspensión o finalización).

9. ASISTENCIA AL CLIENTE

9.1. NextRoll ayudará al Cliente a cumplir con sus obligaciones en virtud de la Ley de protección de datos aplicable, en la medida en que lo exija dicha ley.

9.2. Si NextRoll cree o llega a su conocimiento que hay una alta probabilidad de que su tratamiento de los Datos de CRM del cliente resulte en un alto riesgo para los derechos y libertades de protección de datos de los interesados, informará sin demora al Cliente y le proporcionará toda la asistencia razonable y oportuna que el Cliente requiera para llevar a cabo una evaluación del impacto de protección de datos de acuerdo a la Ley de protección de datos aplicable, incluyendo, si es necesario, ayudar al Cliente a consultar con la autoridad de protección de datos que corresponda.

9.3. Solicitudes de los interesados.

En relación con los Datos de CRM del cliente, NextRoll proporcionará asistencia razonable y oportuna al Cliente para permitirle responder a: (i) cualquier solicitud de un interesado para ejercer cualquiera de sus derechos bajo la Ley de protección de datos aplicable (incluyendo sus derechos de acceso, corrección, objeción, supresión y portabilidad, según corresponda) en relación a los Datos de CRM del cliente, y (ii) cualquier otra correspondencia, consulta o queja recibida de un interesado, regulador u otros terceros en conexión con el tratamiento de los Datos de CRM del cliente. En caso de que cualquiera de estas solicitudes, correspondencias, consultas o quejas se realice directamente a NextRoll, NextRoll informará al Cliente sin demora proporcionando todos los detalles.
Con respecto a los Datos de servicio, NextRoll responderá a las solicitudes de los interesados de conformidad con la Ley de protección de datos aplicable y, cuando corresponda, el Cliente proporcionará asistencia a NextRoll en relación con dicha respuesta.

10. INCIDENTES DE SEGURIDAD

Si un Incidente de seguridad confirmado llega a su conocimiento, NextRoll informará al Cliente sin demora y proporcionará toda la información y cooperación oportunas que el Cliente pueda requerir para cumplir con sus obligaciones de información de vulneración de datos bajo la Ley de protección de datos aplicable y en los plazos requeridos por la misma. Además, NextRoll adoptará todas las medidas y acciones necesarias para remediar o mitigar los efectos de un Incidente de seguridad confirmado y mantendrá al Cliente informado de todas las novedades relacionadas con el Incidente de seguridad confirmado.

11. ELIMINACIÓN O DEVOLUCIÓN DE LOS DATOS

Cuando el acuerdo se rescinda o llegue su fecha de vencimiento, NextRoll destruirá todos los Datos de CRM del cliente (incluyendo todas las copias) en su posesión o bajo su control (incluyendo cualquier Dato de CRM del cliente subcontratado a terceros para su tratamiento) bajo solicitud del cliente o de acuerdo a la política de retención de datos de NextRoll incluida en https://www.nextroll.com/privacy. Este requisito no se aplicará en la medida en que cualquier ley aplicable requiera que NextRoll retenga parte o la totalidad de los Datos de CRM del cliente, en cuyo caso NextRoll aislará y protegerá los Datos de CRM del cliente de cualquier tratamiento adicional, salvo en la medida requerida por dicha ley, hasta que sea posible su eliminación.

NextRoll puede conservar los Datos de servicio de acuerdo con sus políticas de retención y eliminación.

12. AUDITORÍA

12.1. Con respecto al tratamiento de los Datos de servicio por parte de NextRoll, NextRoll pondrá a disposición del Cliente, previa solicitud, la documentación necesaria para demostrar el cumplimiento por parte de NextRoll del presente Anexo de protección de datos y/o de la Ley de protección de datos aplicable.

12.2. Respecto al tratamiento de los Datos de CRM del cliente por parte de NextRoll, NextRoll permitirá al Cliente (o a sus auditores externos designados) auditar el cumplimiento de este Anexo de protección de datos por parte de NextRoll, y pondrá a disposición del Cliente toda la información, sistemas y personal necesarios para que el Cliente (o sus auditores externos designados) puedan llevar a cabo dicha auditoría. NextRoll reconoce que el cliente (o sus auditores externos) pueden entrar en las instalaciones que sean propiedad de NextRoll o estén bajo su control únicamente para el fin de realizar esta auditoría, siempre y cuando el Cliente proporcione un aviso previo razonable de su intención de realizar la auditoría, la lleve a cabo durante el horario laboral estándar y tome todas las medidas razonables para no alterar innecesariamente las operaciones de NextRoll. El Cliente no ejercerá su derecho de auditoría (incluyendo enviar preguntas de auditoría por escrito a NextRoll) más de una vez en cada periodo de doce (12) meses naturales, excepto (i) si y cuando se lo solicite una autoridad de protección de datos competente, o (ii) si el Cliente cree que una auditoría adicional es necesaria debido a un Incidente de seguridad confirmado sufrido por NextRoll. El Cliente será el único responsable de los costes de dicha auditoría, y NextRoll podrá cobrar al Cliente por la asistencia relacionada con dicha auditoría a su tarifa diaria por servicios profesionales vigente en la fecha en curso.

12.3. El Cliente reconoce que NextRoll se somete a auditorías regulares por parte de auditores externos independientes bajo los estándares SOC 2. Bajo solicitud, NextRoll facilitará una copia resumida de sus informes de auditoría al cliente, los cuales estarán sujetos a las disposiciones de confidencialidad del Acuerdo.

12.4. El Cliente acepta que, si decide llevar a cabo una auditoría, y en la medida en que lo haga, con respecto al tratamiento de los Datos de CRM del cliente por parte de NextRoll en virtud de la Cláusula 8.9 del Módulo 2 de las Cláusulas contractuales tipo, dicha auditoría se llevará a cabo de acuerdo con los requisitos de estas Cláusulas 12.2 - 12.4.

13. CUMPLIMIENTO DE LA LEGISLACIÓN APLICABLE

13.1. NextRoll cumplirá con todas las Leyes de Protección de Datos Aplicables, lo que incluye, entre otras cosas, proporcionar el mismo nivel de protección de la privacidad de los Datos de CRM del Cliente que el que se exige a una empresa en virtud de la legislación estadounidense en materia de privacidad de datos.

13.2. A su vez, el Cliente se asegurará de haber notificado con suficiente antelación legal la forma en que se recopilarán, utilizarán y proporcionarán los Datos de servicio a NextRoll.

14. GARANTÍAS, REPARACIÓN Y NOTIFICACIÓN

14.1. El Cliente tiene derecho a tomar medidas razonables y apropiadas para garantizar que NextRoll utilice los Datos de CRM del Cliente de forma coherente con las obligaciones del Cliente en virtud de las Leyes de Protección de Datos Aplicables.

14.2. El Cliente tiene derecho, previa notificación, a tomar las medidas razonables y adecuadas para detener y remediar el uso no autorizado de los Datos de CRM del Cliente puestos a disposición de NextRoll.

14.3. NextRoll notificará al Cliente una vez que determine que ya no puede cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables.

ANEXO I

DESCRIPCIÓN DEL TRATAMIENTO DE LOS DATOS

Este Anexo I forma parte del Anexo de protección de datos y describe el tratamiento que NextRoll llevará a cabo en nombre del Cliente.

A. Lista de partes

Cliente(s)/Exportador(es) de datos:

Nombre:

El Cliente que ha celebrado el Acuerdo con NextRoll.

Dirección:

La dirección facilitada por el Cliente al registrarse para usar la plataforma de marketing digital de NextRoll.

Nombre, puesto y datos de contacto de la persona de contacto:

Los datos de contacto facilitados por el Cliente al registrarse para usar la plataforma de marketing digital de NextRoll.

Actividades relevantes para los datos transferidos bajo estas Cláusulas:

La recepción de servicios de marketing digital prestados por NextRoll de conformidad con el Acuerdo.

Firma y fecha:

Este Anexo de protección de datos (incluyendo las Cláusulas contractuales tipo) se considerará ejecutado en el momento en que el Cliente acepte el Acuerdo.

Puesto (responsable/encargado del tratamiento):

Responsable del tratamiento o Empresa (para Datos de CRM del Cliente)
Responsable del tratamiento o Empresa (para Datos de servicio)

NextRoll/Importador(es) de datos:

Nombre:

NextRoll, Inc.

Dirección:

2300 Harrison Street, FL 2, San Francisco, CA 94110, USA

Nombre, puesto y datos de contacto de la persona de contacto:

Equipo de privacidad de NextRoll: privacy@nextroll.com

Actividades relevantes para los datos transferidos bajo estas Cláusulas:

El ofrecimiento de servicios de marketing digital al Cliente de conformidad con el Acuerdo.

Firma y fecha:

Este Anexo de protección de datos (incluyendo las Cláusulas contractuales tipo) se considerará ejecutado en el momento en que el Cliente acepte el Acuerdo.

Puesto (responsable/encargado del tratamiento):

Responsable del tratamiento o Tercero (para los Datos de CRM del cliente)
Responsable del tratamiento (para los Datos de servicio)

В. Descripción de la transferencia

Categorías de interesados cuyos datos personales son transferidos:

Interesados que sean clientes potenciales o existentes del Cliente ("Interesados clientes")
Interesados que sean empleados o miembros del personal del Cliente ("Interesados empleados")
Interesados que vean los sitios web del Cliente donde se coloca el píxel de NextRoll ("Usuarios finales del cliente")

Categorías de datos personales transferidos:

Datos de CRM del Cliente: información de contacto y cualquier otra información de contacto afiliada (p. ej., dirección de correo electrónico, nombre, dirección, número de teléfono, nombre de la empresa, puesto de trabajo) acerca de los Sujetos de Datos de Clientes que proporcione el Cliente (como exportador de datos) a NextRoll (como importador de datos), se obtenga a través de integraciones de terceros con los servicios autorizados por el Cliente, o que obtenga NextRoll en nombre del Cliente en relación con los servicios.
Datos de los empleados del cliente: la dirección de correo electrónico y la dirección IP de los empleados del cliente se transfieren siempre y cuando un empleado lleve a cabo una actividad de inicio de sesión en el panel de control de la plataforma de marketing digital de NextRoll.
Datos del usuario final: información sobre el dispositivo y el comportamiento de navegación en los sitios web de los Clientes recopilada por el píxel de NextRoll (p. ej., cookies, información del dispositivo, dirección IP, datos de ubicación imprecisos, datos del navegador, datos del píxel publicitario) y, si el Cliente lo permite, direcciones de correo electrónico con hash facilitadas por los Usuarios finales del cliente en el Sitio del cliente (en conjunto, "Datos de servicio").

Datos confidenciales transferidos (cuando corresponda) y restricciones o medidas de protección aplicadas que tengan completamente en cuenta la naturaleza de los datos y los riesgos implicados, por ejemplo, limitación estricta de los fines, restricciones de acceso (incluyendo acceso exclusivo para el personal con formación especializada), mantener un registro del acceso a los datos, restricción de transferencias sucesivas u otras medidas de seguridad adicionales:

Ninguno.

Frecuencia de la transferencia (p. ej., si los datos se transfieren una sola vez o de manera continua):

De manera continua durante la duración del Acuerdo.

Naturaleza del tratamiento:

La prestación de servicios de marketing digital de conformidad con el Acuerdo.

Finalidad(es) específica(s) y limitada(s) de la transferencia y el tratamiento posterior de los datos:

Los servicios de marketing digital proporcionados por NextRoll incluirán el tratamiento de los Datos de CRM del cliente en nombre del Cliente para las siguientes finalidades:

Envío de correos electrónicos a los Interesados clientes a petición del Cliente.
Correspondencia de datos personales de Interesados clientes (correos electrónicos con hash) con los Datos de servicio de NextRoll y con datos online de socios de publicidad externos a fin de reconocer a los Interesados clientes cuando visiten sitios web de medios externos para pujar por publicidad segmentada y distribuirla en nombre del Cliente, y para complementar los Datos de CRM del cliente con el comportamiento de navegación identificado en los sitios de los Clientes y las interacciones con el marketing directo de los Clientes cuando el Cliente tenga permiso en virtud de la Ley de Protección de Datos Aplicable.
Medir el rendimiento de las campañas de correo electrónico y publicidad en línea enviadas a los Interesados clientes con el fin de proporcionar la información al Cliente.
Uso de correos electrónicos de los Interesados empleados del cliente como credenciales de inicio de sesión para acceder al panel de control de la plataforma de marketing digital de NextRoll.
Registro de la dirección IP de los Interesados empleados del cliente cuando inician sesión en el panel de control de la plataforma de marketing digital de NextRoll.

Los servicios de marketing digital prestados por NextRoll incluirán el procesamiento de Datos de servicio, en los que NextRoll y el Cliente son cada uno responsable del tratamiento de datos en la medida en que dichos Datos de servicio estén bajo la custodia o el control respectivo del Cliente o de NextRoll.

NextRoll puede tratar los Datos de servicio como responsable del tratamiento de los datos para proporcionar y mejorar sus servicios para todos los clientes, incluida la segmentación publicitaria, los informes, mediciones, análisis, información, creación de Informes de rendimiento para el cliente y selección de anuncios.

Las direcciones IP contenidas en los Datos de servicio se procesan para identificar con precisión la empresa o el dominio asociado o asignado a la dirección IP y mejorar los servicios a todos los clientes.

Cuando los Datos de servicio contienen direcciones de correo electrónico con hash, estas direcciones de correo electrónico con hash se combinan con identificadores de cookies para reconocer a los Interesados clientes cuando visitan sitios web de medios terceros con el fin de pujar por publicidad segmentada y distribuirla en nombre del Cliente, y para complementar los Datos de CRM del Cliente con comportamientos de navegación identificados en los sitios web de los Clientes y las interacciones con el marketing directo de los Clientes cuando el Cliente tenga permiso en virtud de la Ley de Protección de Datos Aplicable.

Los Datos de servicio no se ponen a disposición ni se divulgan de otro modo a ninguna parte ni entre Clientes, a menos que dicha parte sea (i) un subcontratista que procese Datos de servicio para la prevención de fraudes o la detección de errores técnicos; o (ii) un corresponsable del tratamiento independiente de identificadores de cookies utilizados para hacer coincidir cookies con el fin de distribuir anuncios en línea o dentro de aplicaciones a través de los socios proveedores de inventario publicitario de NextRoll.

Periodo durante el cual se retendrán los datos personales o, si no es posible, criterios utilizados para determinar dicho periodo:

Si el Cliente o NextRoll resuelven explícitamente los servicios de NextRoll de acuerdo con el Acuerdo, NextRoll eliminará los Datos de CRM del cliente antes de 90 días tras la fecha de resolución.
Si la cuenta de un Cliente se ha suspendido durante 90 días o más, los Datos de CRM del cliente se eliminarán.
Cuando un Cliente no ha iniciado sesión en su cuenta de NextRoll en los últimos 365 días ni ha usado ningún producto ni ha consumido medios en los últimos 30 días, los Datos de CRM del cliente se eliminarán en el día 366 sin actividad de inicio de sesión en la cuenta.
Como responsable del tratamiento de los Datos de servicio, NextRoll conservará los Datos de servicio de acuerdo con sus políticas de retención de datos identificadas en la Sección 9 del Aviso de privacidad de NextRoll.

Para las transferencias a encargados o subencargados del tratamiento, especifique también el tema, naturaleza y duración de tratamiento:

El tema, naturaleza y duración de tratamiento se especifican en el texto anterior y el Acuerdo.

C. Autoridad supervisora competente

Identifique la autoridad o autoridades supervisoras competentes (p. ej., según lo dispuesto en la Cláusula 13 de las CCT)

La autoridad supervisora competente se determinará de acuerdo a la Cláusula 13 de las Cláusulas contractuales tipo.

ANEXO II

MEDIDAS DE SEGURIDAD TÉCNICAS Y ORGANIZATIVAS

Descripción de las medidas técnicas y organizativas implementadas por el encargado o encargados del tratamiento/importador(es) de los datos (incluyendo cualquier certificación relevante) para garantizar un nivel de seguridad apropiado teniendo en cuenta la naturaleza, alcance, contexto y fines del tratamiento y los riesgos para los derechos y libertades de personas naturales.

Medida

Descripción

Medidas de seudonimización y encriptación de datos personales

En el proceso de diseño, NextRoll tiene como objetivo minimizar la recopilación y uso de Datos personales de clientes siempre que sea posible.

En los casos en que se usan Datos personales de clientes, estos se seudonimizan utilizando técnicas de agregación, desidentificación o procesamiento, a menos que los datos en bruto se requieran para una finalidad de negocio legítima. Si se requieren los datos reales, estos se encriptarán con estándares de cifrado actuales.

Medidas para asegurar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento

Véase el punto 4 a continuación.

Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de accidente físico o técnico

Los sistemas de NextRoll están diseñados para ser altamente disponibles y aprovechar las arquitecturas escalables y distribuibles que abarcan múltiples ubicaciones geográficas en AWS.

NextRoll mantiene una monitorización de sistemas y un centro de operaciones 24/7 para gestionar los problemas operativos.

NextRoll ha creado planes de recuperación ante desastres y los pone a prueba regularmente. Estos planes incluyen detalles específicos sobre cómo recuperar los servicios y han especificado objetivos de punto y tiempo de recuperación, así como procesos específicos de respuestas e informes para incidentes que implican datos personales.

Procesos para probar, valorar y evaluar la efectividad de las medidas técnicas y organizativas periódicamente a fin de garantizar la seguridad del tratamiento

NextRoll leva a cabo una auditoría SOC 2 Tipo 2 de manera manual.

NextRoll mantiene un programa continuo de cumplimiento en el que los procesos y controles de seguridad se monitorizan automáticamente y se informa de las anomalías para solucionarlas.

Además, NextRoll lleva a cabo detección de vulnerabilidades, mantiene un programa continuo de caza de bugs y realiza un test de penetración externo cada seis meses. Mediante tecnologías como la gestión de posición de seguridad en la nube (CSPM) y la gestión de activos (CMDB), realizamos un descubrimiento de activos continuo, evaluamos la posición y priorizamos los descubrimientos en función del riesgo que suponen.

Medidas de identificación y autorización de usuarios

NextRoll mantiene un servicio central de autenticación y autorización para cada una de las aplicaciones de AdRoll y RollWorks que es compatible con el inicio de sesión único (SSO) y la autenticación multifactor (MFA). Los controles de acceso se aplican en función del rol asignado al usuario en el ámbito de la aplicación.

Para las aplicaciones empresariales que incluyen acceso remoto, NextRoll utiliza una solución SaaS externa de SSO que obliga a todos los usuarios de NextRoll a utilizar MFA. También contamos con control de acceso basado en roles (RBAC).

Medidas de protección de datos durante la transmisión

Todas las conexiones a servicios para clientes de NextRoll a través de redes públicas están cifradas con TLS 1.2 o superior, con un conjunto aprobado de algoritmos criptográficos. La tecnología CSPM permite monitorizar el cumplimiento de manera continua e informar de las desviaciones.

Medidas de protección de datos durante el almacenamiento

Los datos personales de clientes se cifran usando estándares contemporáneos de cifrado definidos en los estándares criptográficos de NextRoll. La tecnología CSPM permite monitorizar el cumplimiento de manera continua e informar de las desviaciones. El acceso a los almacenes de datos está basado en roles, se limita a los casos de uso aprobados y se revisa con regularidad.

Medidas para garantizar la seguridad física de las ubicaciones donde se tratan datos personales

El tratamiento de datos de NextRoll se aloja en AWS. Como resultado, la seguridad física se ofrece como parte del servicio de este proveedor.

Medidas para asegurar el registro de eventos

Las aplicaciones, sistemas y servicios de red de NextRoll crean registros detallados, incluyendo, entre otros: inicios de sesión correctos y fallidos, creación de usuarios, cambios en los permisos, acceso a los datos, transacciones fraudulentas e intentos de ataque.

Los eventos se reenvían a un repositorio central de solo escritura y se analizan para identificar problemas de seguridad potenciales. La solución de seguridad de la información y gestión de eventos (SIEM) normaliza los registros y aplica inteligencia de amenazas para identificar los indicadores de compromiso (IoC).

NextRoll mantiene varios productos de seguridad que ofrecen alertas de seguridad específicas basadas en reglas de monitorización condicional y de anomalías. Estos productos son proporcionados y actualizados de manera continua por los proveedores, junto con reglas desarrolladas internamente.

Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada

NextRoll almacena e implementa configuraciones del sistema estándar. Estas imágenes se escanean con herramientas que determinan que los sistemas se configuran usando las recomendaciones y no contienen vulnerabilidades graves.

Contamos con una funcionalidad de monitorización de integridad de los archivos (FIM) que informa de los cambios al CSPM. Junto con la solución de CMDB, NextRoll es capaz de identificar desviaciones de la configuración estándar.

Medidas de administración y control de las TI internas y la seguridad TI

NextRoll tiene un programa de seguridad integral que gestiona los riesgos que suponen usuarios, datos, sistemas y proveedores en todo el ciclo de vida. Este programa incluye:

Los usuarios se crean con permisos apropiados para su rol, firman acuerdos de confidencialidad y reciben formación sobre políticas y recomendaciones de seguridad y privacidad. El acceso de los usuarios está ligado a la situación laboral, de manera que las cuentas y los derechos se eliminan automáticamente al finalizar el contrato.
Los usuarios deben usar MFA y tecnologías seguras de acceso remoto para acceder a los recursos con un enfoque de confianza cero.
Los dispositivos tienen controles y compilaciones estandarizados.
Los dispositivos están protegidos frente al software malicioso con una solución corporativa que se administra a nivel central y está integrada en las capacidades de monitorización continua de la seguridad.
Los dispositivos no corporativos (BYOD) tienen acceso condicional a los recursos basado en una arquitectura de confianza cero que depende de la puntuación de riesgo que suponen y la puntuación de riesgo mínima necesaria para acceder a los recursos.
Los vendedores son aprobados para garantizar que no generan riesgos inaceptables.
Se mantiene un estándar corporativo de seguridad de punto de conexión que especifica la versión mínima del software fundamental. Los sistemas se actualizan con regularidad.
Los permisos se revisan y eliminan con regularidad.
Los sistemas se borran al final de su vida útil.

Medidas de certificación/garantía de procesos y productos

El programa de seguridad de NextRoll está basado en el CSF de NIST y lo utiliza para informar del estado al comité de seguridad y cumplimiento.

NextRoll audita sus propios procesos y productos y lleva a cabo una auditoría anual SOC 2 Tipo 2 con un auditor externo.

Las tecnologías CSPM y CMDB también aportan puntos de referencia basados en recomendaciones y marcos de seguridad reconocidos.

Medidas para garantizar la minimización de los datos

NextRoll implementa minimización de datos como estándar durante su proceso de diseño. Todos los usos nuevos de datos personales de clientes son revisados y aprobados basándose en este requisito.

Medidas para garantizar la calidad de los datos

NextRoll trata los Datos personales del cliente facilitados por el Cliente. Por definición, el Cliente es responsable de garantizar la precisión de sus Datos del cliente.

Medidas para garantizar una retención de datos limitada

NextRoll ha establecido políticas de retención de datos basadas en los tipos de datos recopilados que se aplican automáticamente utilizando los ajustes de periodo de vida (TTL) en los almacenes de datos.

Medidas para garantizar la rendición de cuentas

NextRoll cuenta con una estructura de gobierno que incluye una serie de medidas de rendición de cuentas, incluyendo el nombramiento de un delegado de protección de datos (más información en nuestro aviso de privacidad: https://nextroll.com/es-ES/privacy, la implementación de privacidad por diseño, que implica llevar a cabo evaluaciones de impacto de privacidad de datos según sea necesario y un comité de seguridad y cumplimiento.

Medidas para permitir la portabilidad de los datos y garantizar su eliminación

NextRoll cuenta con un proceso automático para eliminar los Datos personales de clientes a petición dentro del marco temporal requerido por la Ley de protección de datos aplicable y permite descargar los Datos personales de clientes para facilitarlos a proveedores de servicios alternativos.

Para las transferencias a encargados o subencargados, describa también las medidas técnicas y organizativas específicas que deberá tomar el encargado o subencargado para brindar asistencia al Cliente (y para las transferencias entre encargados y subencargados, al exportador de datos).

Medida

Descripción

Medidas de protección de datos de autoservicio

La plataforma de marketing digital y la página de solicitudes de privacidad de NextRoll (https://nextroll-privacy.relyance.ai) permiten al Cliente acceder a los Datos personales del cliente, corregirlos o eliminarlos según sea necesario para satisfacer cualquier solicitud de protección de datos de los interesados.