TERMINOS Y CONDICIONES PARA SUSCRIPTORES Y USUARIOS DATAPIFY
1 Introducción
Estos Términos y Condiciones (en adelante “T&C”) establecen los derechos y condiciones bajo las cuáles SMART DATA MARKETING SpA (en adelante SDM SpA) ofrece acceso al servicio de la plataforma DATAPIFY (en adelante“DP” o “Plataforma”) en modalidad de Software as a Service (SaaS).Al aceptar estos términos usted manifiesta expresa e inequívocamente su consentimiento para respetar y cumplir su contenido e información a la cual tiene acceso. La aceptación de estos T&C es condición esencial para que SDM otorgue el Servicio, todo lo cual se entiende conocido y aceptado por usted.1.1 Contratación según territorio.Si usted reside en en Chile y pagará el servicio en moneda local, o bien reside en el extranjero o pagará sus servicios en dolares americanos, estará suscribiendo un contrato con SDM SpA, Rol Único Tributario Nº 76.708.457-9 , domiciliado en Almirante Pastene 333 oficina 402, Providencia, Santiago, Chile..El representante legal de ls sociedad anteriormente mencionadas es Marcelo Bobadilla Flores, cédula de identidad número 19.307.155-4.- 1.2 Contratación según suscriptor o usuario de los servicios.a) Si usted está actuando como persona natural de forma directa, y pagará los servicios por su propia cuenta, se aplicarán íntegramente los presentes T&C.b) Si usted utilizará la Plataforma DATAPIFY como herramienta dentro de una “organización” Persona Jurídica, de derecho público o privado quien hubiese contratado el Servicio, a usted no se le aplicará lo dispuesto en el apartado N°6 de estos T&C..c) Si el usuario goza de permisos de Super Administrador y está ingresando a la Plataforma por haber usted gestionado previamente su contratación en nombre de una Organización a la queustedpertenece, los presentes T&C se entenderá además suscritos en representación de dicha Organización.En ese caso, el pago respectivo de los Servicios por parte de la Organización a la cual usted pertenece constituirá prueba irrefutable de la suficiencia de las facultades y poderes con los que usted cuenta para aceptar los T&C en nombre de ella. No obstará a ello si despuésapareciere que usted no contaba con expresas facultades por escrito, en cuyo caso el pago del Servicio posterior a la suscripción de los T&C por parte de la misma Organización se entenderá como plena ratificación de dichos poderes y del consentimiento de ésta respecto de los presentes Términos y Condiciones.En todo caso, con la aceptación de estos T&C la Organización se encontrará obligada, a través de él (o los) Usuario(s) Administrador(es) que ésta designe, para efectos de adoptar todas las medidas organizativas mínimas y necesarias para la adecuada utilización de DP. Adicionalmente, la Organización responderá por la debida utilización de todos los restantes usuarios que se creen en la Plataforma por su cuenta, sin perjuicio del cumplimiento particular que corresponda a cada Usuario que acepte dichos T&C.Sin perjuicio de lo expuesto, cada usuario creado por cuenta de la Organización deberá aceptar por sí mismo los T&C al momento que éstos ingresen por primera vez a la Plataforma.d) En caso que los presentes T&C, excepcionalmente, se concedan bajo modalidad de prueba gratuita por un periodo limitado, aplicará todo aquello que sea compatible con la naturaleza temporal de los servicios y, en caso de posteriormente contratarse el servicio,automáticamente se hará aplicable el texto en su integridad, según el tipo de usuario y/destinatario de los servicios descritos anteriormente, incluso sin necesidad de tener que volverá aceptarse estos T&C.
2 Definiciones
Para efectos de la aplicación de estos T&C, se han definido conceptos relevantes destacados por ser escritos con la primera letra mayúscula cuya definición puede encontrarse en el siguiente listado:Credenciales: Información de identificación única, como nombre de usuario y contraseña, utilizada por un usuario para acceder y autenticarse en un sitio web o'software.DP: Plataforma DATAPIFY de propiedad de SDM SpA.Encargado del Tratamiento: En el contexto de protección de datos, es una persona física o jurídica que procesa datos personales en nombre del responsable del tratamiento, siguiendo sus instrucciones. Ejecutivo: Ejecutivo de SDM a cargo del contacto con usted una vez implementado el Servicio.Medidas Técnicas: Las medidas de seguridad implementadas en la plataforma SaaS para proteger los datos y garantizar la confidencialidad, integridad y disponibilidad de información. Organización: Persona jurídica, sea de Derecho Público o Privado, que adquiere para sí el servicio de DP. Puede tener varios usuarios asignados a ella y que actúan bajo su cuenta y riesgo.Plataforma: En el contexto del software SaaS, se refiere a la infraestructura tecnológica y el conjunto de servicios y funcionalidades proporcionadas por SDM SpA para que los usuarios puedan acceder y utilizar el software..Responsable del Tratamiento: En el contexto de la normativa de protección de datos,es la persona física o jurídica que determina y decide los fines y medios del tratamiento de datos personales en el software.Residencia: El país o jurisdicción donde reside físicamente un usuario o donde está ubicada una Organización que utiliza el software DP.RGPD: Reglamento General de Protección de Datos Europeo.SaaS (Software as a Service): Un modelo de distribución de software en el que el proveedor aloja y administra una aplicación en la nube y la pone a disposición de los usuarios a través de Internet.Servicio: La provisión del software y todas las funcionalidades, soporte y beneficios ofrecidos por el proveedor a los usuarios dentro de la Plataforma SaaS.Super Administrador: Un nivel superior de administrador con permisos adicionales que le permite acceder y administrar todos los usuarios en el software.Suscriptor: La persona física o jurídica que ha contratado y ha suscrito al SaaS de SDM SpA y tiene acceso a las funcionalidades y servicios proporcionados por el mismo.Tratamiento de Datos: Cualquier operación o conjunto de operaciones realizadas en datos personales, como la recopilación, almacenamiento, organización, procesamiento,modificación, divulgación o eliminación.T&C: Términos y Condiciones. Se refiere al presente documento.URL: Uniform Resource Locator, también conocida como dirección web, es una cadena de caracteres que especifica la ubicación de un recurso en la web, como una página web o un archivo.Usuario: Una persona física o jurídica que utiliza el software SaaS y cuya cuenta ha sido creada a través del suministro de Credenciales por el Super Administrador u otro Usuario con permisos para ello.Usuario Administrador: Un usuario con privilegios adicionales que tiene la capacidad de administrar y configurar el software, así como de gestionar los usuarios y sus permisos dentro de una Organización. Su creación se realiza a través del Súper Administrador, quien determina los permisos que como Administrador le corresponden.
3 Alcance del servicio en los presentes Términos
DP es una Plataforma de Software as a Service (SaaS) que permite a los usuarios obtener información de Shopify, cuyos datos del Proceso y archivos relacionados a Movimientos son obtenidos por la Plataforma mediante una conexión con URL de la respectivas Entidades que administran y publican dicha información. Así, la información se extrae desde la respectiva fuente oficial del órgano con el objeto de encontrarse disponible en la Plataforma para efectos de su posterior consulta. La Plataforma Además proporciona herramientas de gestión y notificación de diversos hitos asociados al Proceso, así como reportería asociada.
4 Términos del Servicio
DP actualizará y se conectará a los procesos que registre el respectivo Usuario como “activos"con permisos habilitados para ello en la Plataforma.Al comienzo del Servicio se asignará un Super Administrador asociado al Contratante del Servicio, a quien le corresponderá habilitar el uso al resto de los usuarios y perfiles que estime convenientes, con la respectiva asignación de permisos, incluyendo la posibilidad de crear otros Súper Administradores con iguales facultades y permisos dentro de la Plataforma. Las contraseñas de las Credenciales son únicas e intransferibles para los Usuarios. Excepcionalmente, podrá solicitarse su ingreso en otro ambiente seguro encriptado que no sea SDM para efectos de evaluación de la conexión con una determinada Entidad, o bien, para analizar mejoras en los productos de SDM SpA. En todo caso se garantizan las Medidas Técnicas para asegurar la confidencialidad de dichas contraseñas. El Usuario que ingrese Credenciales privadas a la plataforma será responsable de establecer los parámetros para permitir o prohibir que otros Usuarios accedan a ellas con el fin de conectar nuevos procesos en los que el primero participa. Asimismo, el funcionamiento del Servicio podrá estar condicionado o afectado por fenómenos atmosféricos y cualquier otra circunstancia natural o artificial que afecten las comunicaciones desde y/o hacia DP. De igual forma puede haber interrupción del Servicio por la imperiosa necesidad de SDM SpA para realizar ajustes o mejoras en DP en el menor tiempo posible para cumplir con la prestación del servicio. SDM SpA capacitará y/o orientará a los usuarios del Suscriptor acerca del funcionamiento de DP por medio de los canales que disponga para ello.
5 Condiciones de Uso y Aviso de Privacidad aplicables a todo Usuario.
5.1 Uso adecuado del Servicio.Los Usuarios se obligan a:a) No ingresar a la Plataforma virus ni códigos maliciosos de ningún tipo.b) No utilizar la Plataforma para actos ilícitos, engañosos, malintencionados o discriminatorios.c) No realizar ninguna acción que pudiera inhabilitar, sobrecargar o afectar el correcto funcionamiento de la Plataforma o su aspecto.d) No proporcionar datos falsos.e) No utilizar los Servicios o la Plataforma si es menor de 18 años.f) No publicar contenido ni realizar acción alguna en la Plataforma que infrinja o vulnere los derechos de terceros y/o la ley.g) No utilizar las marcas, signos distintivos, nombres comerciales, derechos de autor, o'cualquier otro derecho de propiedad intelectual o industrial, salvo previo consentimiento por escrito de SDM SpA .
5.2 Política de Privacidad de DP. SDM SpA respeta el derecho a la privacidad de sus Usuarios y es consciente de la importancia de proteger sus datos personales.Por medio de la aceptación de los T&C usted también declara comprender y aceptar la presente Política de Privacidad, según los siguientes apartados:
5.2.1 Responsable del Tratamiento. Se refiere a la persona física o jurídica que determina y decide los fines y medios del tratamiento de datos personales en el software. En virtud de aquello usted se puede encontrar en los siguientes supuestos que determinarán quién es el Responsable del Tratamiento.Persona natural que actúa por su cuenta: En caso que usted sea un Suscriptor del Servicio Que contrate la Plataforma como persona física o natural, quien se hace responsable por el tratamiento de sus datos será la razón social que aparece en el apartado 1.1 de estos T&C según su Residencia, en la calidad de Encargado del Tratamiento.Persona natural que actúa por cuenta de su Organización: Para el caso de que sea un Usuarioque forma parte de una Organización o actúe por cuenta del Suscriptor, se le informa que SDM SpA podrá recopilar información personal suya o de los procesos en que usted se encuentre involucrado, en virtud de un Contrato de Encargo de Tratamiento celebrado con la Organización a la que usted pertenece. En consecuencia, SDM SpA se encontrará autorizado legalmente -en su calidad de Encargado del Tratamiento- para realizar el tratamiento de los datos que se indican en el presente apartado en razón de dicho Contrato. Cualquier reclamo o'consulta, sea en relación con el tratamiento de dichos datos o la legitimidad para realizar dicho tratamiento, debe dirigirse en primer lugar a su Organización, quien -en su calidad de Responsable del Tratamiento según definición legal aplicable- se encuentra presuntamente legitimado para tomar decisiones en relación con el tratamiento de datos de carácter personal para la utilización del Servicio.
5.2.2 Qué información se utiliza.Los Usuarios crearán o modificarán una o más contraseñas que se almacenarán en la Plataforma de manera encriptada, sin que SDM SpA pueda conocerlas.Adicionalmente, los tipos de datos que se pueden tratar serán aquellos identificativos asociados a un Usuario de DP, tales como nombre; apellidos; alias; cargo dentro de la Organización; correo electrónico; permisos de Usuario y las respectivas contraseñas encriptadas. Asimismo, se obtendrá información recopilada desde el sitio web y/o la Plataforma tales como cookies, dirección IP, información comportamiento de los Usuarios en su interacción con la Plataforma, entre otros.
5.2.3 Finalidad del Tratamiento.En general, SDM SpA tratará su información para:-Gestionar comunicaciones por correo electrónico con interesados en adquirir de los servicios de SDM SpA o recibir más información respecto de ellos.-En ciertas ocasiones, para utilizar información personal con el objeto de informar acerca de software, productos, servicios y promociones que pueden ser de su interés, a través del boletín por correo electrónico o comunicaciones de marketing. Usted podrá darse de baja de estas comunicaciones cuando lo estime conveniente, según lo expuesto en esta política.-El mantenimiento de la relación mercantil y prestación del servicio contratado, esto es, utilizar su información personal recolectada para proveer los servicios de software a los que accedió.-Analizar información de usabilidad de la Plataforma para mejorar la experiencia del Usuario y servicios asociados.-Motivos internos de la empresa, esto es, utilizar la información personal para análisis de datos y realización de anuncios personalizados, creación de bases de datos, personalización del sitio web de SDM SpA, o cualquiera de sus dominios, tanto estética como funcionalmente priorizando la seguridad; y enviar recordatorios de pago si resulta necesario.-Utilizar los registros audiovisuales grabados directamente de reuniones o webinars para posteriormente compartirlos por todos los medios que se consideren pertinentes, con fines publicitarios y de transmisión de conocimiento de lo conversado en dichas instancias.- Comunicados administrativos, esto es, para enviar información importante acerca del sitio web, así como cambios en los T&C y políticas. Debido a que esta información puede ser importante para su uso del sitio, no podrá renunciar a recibir dichos comunicados.En forma específica mediante la aceptación de estos T&C, SDM SpA podrá utilizar lainformación que se recopile del Usuario para (a) proveer, operar, mantener, mejorar el sistema DP; (b) permitirle al Usuario el acceso y uso de DP; (c) proporcionar servicio al Usuario y soporte; enviar avisos técnicos, actualizaciones, alertas de seguridad y mensajes de soporte o de carácter administrativo; (d) enviar comunicaciones promocionales,como por ejemplo, proporcionar información sobre servicios adicionales, características,encuestas, boletines informativos, ofertas, promociones, concursos, mejoras, nuevas funcionalidades y eventos y proporcionar otras noticias o información sobre SDM SpA, que podrá optar por no recibir; (e) supervisar y analizar tendencias, uso y actividades relacionadas con el sistema DP y los Servicios con fines estadísticos, de marketing y de publicidad;(f) investigar y prevenir transacciones fraudulentas, acceso no autorizado al sistema y otras actividades ilegales; (g) personalizar el ambiente de DP, incluso proporcionar funciones o anuncios que coincidan con los intereses y preferencias del Suscriptor o la Organización a la cual usted pertenece.
5.2.4 Duración del Tratamiento.Los datos personales y/o voluntarios proporcionados se conservarán mientras se mantenga la relación con SDM SpA, hasta que se solicite la suspensión por el interesado, o hasta que no sea necesaria su mantención dependiendo de la finalidad para la cual se obtuvieron.La información que se procesa y custodia no se mantendrá durante más tiempo del necesario,teniendo en cuenta el fin o el propósito por el cual se resguardó. Sin embargo, se mantendrá la información (incluidos los documentos electrónicos de los servicios de nuestros software) en los siguientes casos:- En la medida en que la ley nos obligue a hacerlo;- Con el fin de establecer, ejercer y defender derechos legales de SDM SpA.Si los datos no están siendo utilizados, o ya no es necesaria la finalidad para la cual se obtuvieron, procederán a ser bloqueados, esto quiere decir que quedarán inutilizados en un ambiente seguro y restringido. El plazo máximo de bloqueo corresponderá a cinco años,equivalente al plazo normal de prescripción.
5.2.5 Legitimación del Tratamiento.El tratamiento de todos los datos es necesario para gestionar y ejecutar la relación contractual que se ha suscrito y contratado con SDM SpA. En ese sentido la legitimación obedece a la ejecución de un contrato por cuenta de la Organización o Responsable del Tratamiento,cuando corresponda.Respecto de sus propios datos personales, si usted reside en un país en que la ejecución del contrato no es causal de legitimación, o bien, si usted no pertenece a una Organización que actúa como Responsable del Tratamiento, o sencillamente no ha autorizado a dicha Organización el tratamiento de sus datos, mediante los presentes T&C usted acepta las estipulaciones y, en consecuencia, la causal de legitimación obedecerá al consentimiento del interesado.Respecto de los datos personales de los interesados que se encuentren involucrados en algún Proceso judicial o administrativo, si usted reside en un país en que la ejecución de un contrato no es causal de legitimación o usted no tiene identificado una Organización que actúa como Responsable del Tratamiento, mediante los
6 Términos y Condiciones exclusivos para una Organización
Las presentes condiciones serán únicamente aplicables respecto de quien -en los términos referidos en el numeral 1.2 letra c)- hubiese contratado el Servicio, o bien, a las personas naturales o físicas que contraten directamente el Servicio para sí mismas, según lo definido en el numeral 1.2 letra a).Lo anterior no obsta a que la Organización deba cumplir y hacer respetar respecto de todos los usuarios íntegramente todos los apartados restantes de estos T&C.
6.1 Licencia de Uso.Los presentes T&C incluyen una licencia de uso de software, en virtud de la cual DSM SpA concede una licencia (autorización de uso no exclusiva) a la Organización (licenciataria) sobre los derechos de explotación del mismo (su uso) a cambio del pago de un precio o canonperiódico.De esta forma, se permite utilizar el software a la Organización, sin que se transfiera, en ningún caso, la propiedad intelectual del software Datapify. La Organización utilizará el Software conforme a lo establecido en los presentes T&C y no realizará gestiones ni celebrará contratos de ningún tipo con terceros para efectos de reemplazar o complementar el uso del mismo, ya sea mediante la celebración de nuevas licencias con terceros para el uso de programas o propiedad intelectual distintos al Software o mediante cualquier otra modalidad.La Organización no podrá, salvo autorización expresa y por escrito de SDM SpA, alquilar,sublicenciar, ceder o transferir de cualquier manera sus derechos de uso conferidos por La Licencia, ni autorizar la copia total o parcial del software en otro equipo a excepción de lo permitido expresamente por estos T&C. Asimismo, la Organización no podrá ceder ni transferir de manera alguna, los derechos y obligaciones derivados del Contrato, salvo autorización expresa y por escrito de SDM SpA, según corresponda.
6.2 Responsabilidad por la utilización del Servicio.La Organización se hará directamente responsable de las faltas que cometen los Usuarios que por su cuenta se registran en la Plataforma.SDM SpA no responderá de manera alguna frente a la Organización o terceros que efectúen algún tipo de reclamación cuyo fundamento guarde relación con la actividad imputable a dichos Usuarios y, en consecuencia, la Organización es obligada a adoptar todas aquellas medidas tendientes a que sus Usuarios hagan un uso responsable de la Plataforma.Las partes aceptan que las obligaciones contraídas por la aceptación de estos T&C se extinguirán, sin responsabilidad para ninguna de las partes, con ocasión de cualquier daño especial, incidental o consecuente, en caso de que las conexiones de SDM SpA se destruyan, dañen o estén imposibilitados de operar por caso fortuito, fuerza mayor o por circunstancias no imputables a la parte respectiva.
6.3 Términos Comerciales.SDM SpA facturará y cobrará el Servicio conforme al periodo de facturación, precio y condiciones comerciales enviadas por correo electrónico a la Organización, o quien actúe por su cuenta. No obstante lo anterior, SDM SpA se reserva el derecho a modificar ocasionalmente la tarifa periódica, sea por razones de reajustes; incorporación de nuevos servicios asociados a la Plataforma, o bien, por necesidades de la empresa, todo lo cual será notificado con la debida antelación que en ningún caso será menor a un mes calendario.La Organización (o la persona natural que haya contratado el Servicio para sí) acepta expresamente este derecho de modificar que tendrá SDM SpA, mostrando su conformidad con el mismo.En caso de que la Organización (o la persona natural que haya contratado el Servicio para sí) no esté de acuerdo con estas modificaciones, y siempre que éstas hicieran alguna cambio en los elementos de la esencia del presente contrato, tendrá derecho a poner fin a su vínculo con SDM SpA, de conformidad a lo establecido en la sección 7 siguiente, dentro del periodo de antelación que se le informe de conformidad al párrafo segundo anterior. Este término unilateral por parte del cliente no dará derecho a indemnización alguna, ni a devolución de lo pagado, entendiendo que el precio pactado y pagado constituye una unidad indivisible.Si por cualquier motivo las cantidades debidas y los pagos no pudieran completarse a través de la forma y medios de pago convenida en la respectiva negociación comercial, la Organización Quedará en todo caso obligada a satisfacer a SDM SpA las cantidades impagas, reservándose el último el derecho a obtener el cobro mediante cualquier otro medio incluyendo los reajustes e intereses legales o corrientes que correspondan con ocasión de la morosidad.Se entenderá que el pago de la tarifa se encuentra en morosidad cuando existan dos o más facturas impagas a la fecha de su vencimiento.En todo caso, SDM SpA se reserva el derecho para interrumpir o suspender de forma temporal o definitiva el Servicio en caso de dos o más facturas impagas, todo lo cual será informado, sea por correo electrónico o al momento de ingresar un Usuario a la Plataforma. En Caso de que se regularice la deuda, SDM SpA procederá a restablecer el Servicio con un máximo de 24 horas hábiles desde la notificación del pago.La Organización autoriza a SDM SpA a consultar, reportar, conservar, suministrar, solicitar y divulgar a las diferentes Centrales de Información y de Riesgo oficiales de cada país, toda la información referente a su comportamiento comercial. Lo anterior implica que el cumplimiento o incumplimiento de las obligaciones de pago se podrá reflejar o consultar en las mencionadas bases de datos. El pago de los servicios de acceso y consulta a la Plataforma CT no incluye servicios complementarios o desarrollos extraordinarios no contemplados en la cotización inicial, los cuales -de posteriormente requerirse- tendrán un valor aparte.6.4. Contrato de Encargado de Tratamiento.En cumplimiento de la Normativa de Protección de Datos Aplicable: Mediante el siguiente apartado se celebra un Contrato específico de Encargado de Tratamiento, en virtud del cual, la Organización autoriza a SDM SpA el respectivo tratamiento de los datos de carácter personal necesarios para prestar el Servicio descrito en estos T&C, conforme a las siguientes cláusulas.PRIMERO: CONCEPTOS. Para efectos de la normativa de protección de datos y el presente apartado, se tomarán en cuenta los siguientes conceptos básicos, sin perjuicio de otros que pudieran corresponder conforme a la Ley Aplicable. Datos personales: Los relativos a cualquier información concerniente a personas naturales,identificadas o identificables.Titular Del Dato Personal: Persona natural cuyos datos personales son objeto de tratamiento.Responsable del Tratamiento: La persona física (o natural) y jurídica, a quien compete las decisiones relacionadas con el tratamiento de los datos de carácter personal. En este caso, La Organización .Encargado del Tratamiento: La persona natural o jurídica privada que realiza tratamiento de datos personales por cuenta del Responsable. En este caso SDM SpA.Tratamiento De Datos: Cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar,elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir,transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma.Ley Aplicable: Norma de Protección Jurídica de Datos Personales que según resulte del caso concreto sean aplicables a un Tratamiento de Datos.SEGUNDO. EL RESPONSABLE, en su calidad de administrador de perfiles y usuarios es quien determina la creación y registro de los procesos en la Plataforma de DP, así como también administra la respectiva asignación de los usuarios quienes podrán acceder a la Plataforma y visualizar los procesos que se les asignen, por lo que es su responsabilidad asegurarse que se dan cumplimiento a las causales de legitimación para el tratamiento de datos personales según la legislación aplicable. I. Datos personales de los usuarios que interactúan con DP.Serán necesarios ciertos datos identificativos de los Usuarios que el RESPONSABLE cree en la Plataforma para la prestación del Servicio.Las operaciones para su tratamiento serán las de: (1) Registro; (2) Almacenamiento; y (3)Transferencia.El Usuario que corresponda agrega ciertos datos identificativos del respectivo Usuario Creado.Los Usuarios crearán o modificarán una o más contraseñas que se almacenarán en la Plataforma de manera encriptada, sin que SDM SpA pueda conocerlas. Los tipos de datos que se puedan tratar en virtud de esta categoría serán aquellos identificativos asociados a un Usuario de DP, tales como nombre; apellidos; alias; cargo dentro de la Organización; correo electrónico; permisos de Usuario y las respectivas contraseñas encriptadas. Asimismo, según se especifica en el apartado de “Condiciones para Usuarios” se obtendrá información recopilada desde el sitio web y/o la Plataforma tales como cookies,dirección IP, información, comportamiento de los Usuarios en su interacción con la Plataforma,entre otros.TERCERO. De la Transferencia Transfronteriza de Datos o el subencargado del Tratamiento a otros Proveedores.Los datos referidos en la cláusula anterior son transferidos al Subencargado del Tratamiento(Amazon Web Services) cuyo objeto es el almacenamiento en línea con fines de garantizar el resguardo y seguridad en una plataforma Cloud de Amazon Web Services, quien cuenta con garantías de confiabilidad, disponibilidad, integridad y de respaldo.Dicha Transferencia es aceptada como necesaria para la prestación por la Organización en su calidad de Responsable del Tratamiento, utilizándose en consecuencia su tratamiento de dicha forma.Asimismo, se utilizan los proveedores indicados en la el numeral 5.2.8 de estos T&C CUARTO. DURACIÓN. El presente contrato de Encargo de Tratamiento tiene una duración en vinculación directa con la vigencia del Servicio. Una vez finalice el Servicio o el Tratamiento en sí mismo, el Encargado del Tratamiento debe inmediatamente, en relación con los datos de carácter personal, suprimirlos salvo que el Responsable del Tratamiento disponga lo contrario sin perjuicio del derecho a bloqueo que reconozca la ley. En todo caso, los datos quedarán irrevocablemente suprimidos transcurridos dos años desde el último respaldo efectuado.Sin perjuicio de lo dispuesto en las cláusulas de término de los T&C, el RESPONSABLE podrá además rescindir el contrato en cualquier momento, sin previa notificación, en el caso de que el ENCARGADO realice una infracción grave establecida en la normativa de Protección de Datos Aplicable; o cuando no acate las instrucciones del RESPONSABLE en materia de protección de datos; o bien se niegue a conceder al RESPONSABLE, o a cualquier autoridad competente de protección de datos, la realización de auditorías internas o cualquier otra medida que permita comprobar su cumplimiento con la normativa de protección de datos. Sin perjuicio de lo anterior, EL ENCARGADO podrá negarse injustificadamente, si es que la información a entregar dice relación con los códigos de fuente o funcionamiento técnico del software deL ENCARGADO, o información que sea confidencial protegida por secreto empresarial, no obstante, la obligación subsistente deL ENCARGADO de acreditar todas las demás Medidas Técnicas y organizativas empleadas para el cumplimiento del presente acuerdo y la normativa de protección de datos.QUINTO. Obligaciones del Encargado del Tratamiento.El Encargado del Tratamiento y todo su personal se obliga a:1. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión,sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios o diferentes a los establecidos por el RESPONSABLE.2. Tratar los datos de acuerdo con las instrucciones del RESPONSABLE del tratamiento. Si El Encargado del Tratamiento considera que alguna de las instrucciones infringe la Normativa De Protección de Datos aplicable, el ENCARGADO informará inmediatamente al RESPONSABLE.3. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE, que contenga:3.1. El nombre y los datos de contacto del ENCARGADO o ENCARGADOS y de cada RESPONSABLE por cuenta del cual actúe el ENCARGADO y, en su caso, del representante del RESPONSABLE o del ENCARGADO y del delegado de protección de datos.3.2. Las categorías de tratamientos efectuados por cuenta del RESPONSABLE.3.3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso que corresponda la documentación de garantías adecuadas.3.4. Una descripción general de las medidas técnicas y organizativas de seguridad relativa a:I. La seudonimización y el cifrado de datos personales, en su caso.II. La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.III. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.IV. El proceso de verificación, evaluación y valoración regulares de la eficacia de las Medidas Técnicas y organizativas para garantizar la seguridad del tratamiento.4. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del RESPONSABLE del tratamiento, en los supuestos legalmente admisibles.El ENCARGADO puede comunicar los datos a otros ENCARGADOS del tratamiento del mismo RESPONSABLE, de acuerdo con las instrucciones del RESPONSABLE. En este caso, el RESPONSABLE identificará, de forma previa y por escrito, la Entidad a la que se debe comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para procedera la comunicación.Si el ENCARGADO debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho aplicable, informará al RESPONSABLE de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.Lo anterior, sin perjuicio de las autorizaciones que por el presente documento se aceptan.5. Subcontratación El ENCARGADO no podrá subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del ENCARGADO,debiéndose informar previamente mediante una actualización de los presentes T&C.Con todo, y sin perjuicio de lo anterior, por este acto la Organización, en su calidad de Responsable del Tratamiento, acepta y consiente expresamente en el subtratamiento de los Datos Personales por parte de los Proveedores de Servicios enumerados en la sección 5.2.8 anterior 6. Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
7. Garantizar que las personas autorizadas para tratar datos personales se comprometan,de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
8. Mantener actualizada y a disposición del RESPONSABLE la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
9. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
10. Asistir al RESPONSABLE del tratamiento en la respuesta al ejercicio de los derechos de:a) Acceso, rectificación, supresión y oposición.b) Limitación del tratamiento.c) Portabilidad de datos.d) A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).e) Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el ENCARGADO del tratamiento, éste debe comunicarlo por correo electrónico al RESPONSABLE. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laboral siguiente al de la recepción de la solicitud, juntamente,en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
11. Derecho de información Corresponde al RESPONSABLE facilitar el derecho de información en el momento de la recogida de los datos.
12. Notificación de violaciónes de la seguridad de los datos El ENCARGADO del Tratamiento comunicará sin dilación indebida, las violaciones de la seguridad de los datos a los interesados, cuandosea probable que la violación suponga un alto riesgo para los derechos y las libertades de laspersonas físicas.
13. Dar apoyo al RESPONSABLE del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos.
14. Dar apoyo al RESPONSABLE del tratamiento en la realización de las consultas previas a la autoridad de control.
15. Poner a disposición del RESPONSABLE toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realice el RESPONSABLE u otro auditor autorizado por él.
16. Implantar las medidas de seguridad, de acuerdo con la evaluación de riesgos realizada por EL RESPONSABLE, detalladas en su Registro de Actividades. En todo caso, deberá implementar mecanismos para: (1) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; (2) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico; (3)Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento; (4) Sinonimizar o cifrar los datos personales, en su caso.En caso de que el RESPONSABLE considere que las medidas adoptadas no son suficientes,deberá abstenerse de contratar y utilizar el Servicio, sin perjuicio de poder requerir que estas sean modificadas. Si el ENCARGADO, después de haber sido informado por el RESPONSABLE, no modifica sus medidas organizativas y técnicas en un plazo máximo de diez (10) días, el RESPONSABLE podrá rescindir inmediatamente el Contrato así como el Contrato de servicio de control de asistencia,sin indemnización alguna.
17. Destino de los datos Devolver al RESPONSABLE o al ENCARGADO que designe por escrito el RESPONSABLE del tratamiento, los datos de carácter personal y, si procede, los soportes donde consten, una vezcumplida la prestación, a requerimiento y según instrucciones del RESPONSABLE.En su defecto, SDM SpA procederá al borrado de los datos en la Plataforma y al bloqueo total de los respaldos de datos utilizados por el ENCARGADO hasta por los tiempos máximos deprescripción.No obstante, el ENCARGADO puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.SEXTO. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO Corresponde al RESPONSABLE del tratamiento: (1) Entregar al ENCARGADO los datos necesarios para el funcionamiento del Servicio; (2) Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el ENCARGADO cuando este estime que corresponda; (3) Realizar las consultas previas que corresponda y; (4) Velar, de forma previa y durante todo el tratamiento de la normativa de protección de datos.SÉPTIMO. RESPONSABILIDAD DEL TRATAMIENTO.El RESPONSABLE DEL TRATAMIENTO queda exonerado de cualquier responsabilidad que se pudiera generar por el incumplimiento por parte del ENCARGADO DEL TRATAMIENTO por causas que no le sean imputables en materia de protección de datos.En todo caso EL ENCARGADO estará exento de responsabilidad frente a EL RESPONSABLE si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.Por su parte, EL ENCARGADO deberá ser indemnizado por EL RESPONSABLE si este último, por quien en su cuenta actúe, almacenar información ilegítima y/o no autorizada y como consecuencia de ello EL ENCARGADO fuese sancionado por alguna infracción a la normativa de protección de datos.OCTAVO. LAS MEDIDAS TÉCNICAS.Las Medidas Técnicas utilizadas para la Seguridad de la Información a la fecha de la aceptación del presente documento, son las siguientes:a) Medidas para el control de accesos: La información puede ser accedida por medio de diferentes roles y perfiles que un usuario administrador defina. Esto permite un acceso modular y restringido a la información, o realizar cambios o actualizaciones sobre esta. Todo Usuario con acceso además se encuentra obligado por cláusulas de confidencialidad a no revelar información alguna a terceras personas, en el ejercicio de sus funciones.b) Medidas para la identificación y autorización del usuario: Los usuarios deben estar asociados a una cuenta de correo electrónico único. Respecto de las contraseñas del usuario,estas deben poseer un mínimo de ocho caracteres, una letra minúscula, una letra mayúscula,un número y un símbolo para poder ser almacenada.c) Medidas para la protección de los datos durante la transmisión: Toda la información en tránsito se encuentra encriptada utilizando el protocolo TLS 1.2d) Medidas para la protección de los datos durante el almacenamiento: La información almacenada se encuentra encriptada usando el algoritmo AES-256-GCM e) Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento: Se cuenta con cómputo y almacenamiento distribuido en diferentes zonas de disponibilidad de la región principal en AWS (N. Virginia). Lo que permite recuperar inmediatamente las aplicaciones en caso de una falla en alguna de las zonas de disponibilidad. Otorgando así, un alto nivel de disponibilidad y resiliencia en la infraestructura base. Los accesos a los servicios son entregados a usuarios específicos bajo una debida justificación y aplicando el principio del mínimo privilegio.f) Medidas para restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente físico o técnico: Se cuenta con un Plan de continuidad y un plan de recuperación ante desastres documentado y testeado de manera anual. El RTO es de 4 horas y el RPO de 4 horas. La infraestructura que soporta la aplicación se encuentra en la nube de AWS, en N. Virginia como zona de operación principal y en Oregon como zona de recuperación de desastres. Nuestro plan de respaldo contempla:i) Respaldo incremental diario hasta 48 hrs. (Point in time recovery)ii) Respaldo completo diario (retención de 15 días)iii) Respaldo completo semanal: (retención 3 meses)iv) Respaldo mensual completo: (retención 1 año)g) Medidas para el registro de control de software y auditoría del sistema: Se almacena el registro de las modificaciones de datos realizadas en el sistema. Estos datos no se encuentran accesibles directamente por el Responsable, pero pueden ser solicitados a soporte en caso de que sea necesario realizar un control de auditoría de cambios. Los datos que almacenamos para cada modificación son:i) Identificación del usuario que realiza la acción en la aplicación.ii) Fecha y hora del evento.iii) El tipo de cambio (modificación / eliminación).iv) El cambio en sí realizado.h) Medidas para garantizar el registro de incidentes: Se cuenta con un proceso de gestión de incidentes formalizado que garantiza su detección, remediación, registro y comunicación.i) Medidas para la certificación/garantía de procesos y productos: Los procesos son revisados tanto de manera interna como externa de manera anual para así garantizar quecumpla con los requerimientos del negocio y los lineamientos del estándar ISO/IEC 27001 j) Medidas de seguridad en el ciclo de vida del desarrollo: Se cuenta con una segregación de ambientes para el desarrollo, pruebas y producción con el fin de minimizar los riesgos latentes en los procesos de gestión de cambios. Además, se definen los requisitos para el paso entre cada uno de los ambientes y los derechos de usuario responsables de ello. Para la ejecución de las pruebas, no se utilizan datos productivos de los Responsables del Tratamiento..k) Medidas para garantizar la gestión de vulnerabilidades: La aplicación es sometida a un proceso anual de Ethical Hacking para eliminar vulnerabilidades de seguridad y se definen los tiempos de solución para resolver éstas vulnerabilidades de acuerdo a su nivel de criticidad.Además, se realizan pruebas de penetración, de vulnerabilidades estáticas y dinámicas,respecto a versiones de paquetes y de inyecciones SQL y REST, periódicamente. Estas son realizadas de manera interna, por parte del equipo desarrollador de la aplicación. A raíz de los resultados de estas pruebas, se realizan mejoras constantes en los entes vulnerables y actualizaciones de seguridad en las gemas y paquetes relacionados con la aplicación.l) Medidas de detección de amenazas: La Plataforma se encuentra protegida en primera línea por AWS WAF. Este servicio permite bloquear ataques web comunes y bots antes de que lleguen incluso a la aplicación. Además se utiliza AWS Guard Duty para detectar potenciales amenazas de seguridad, analizando continuamente eventos y logs de nuestra infraestructura para detectar de manera inteligente si una actividad puede ser considerada una amenaza y actuar para remediar.m) Medidas para garantizar la configuración del sistema, en especial la configuración por defecto 6.5. Finalización del Servicio.A menos que la ley o los términos de una oferta de Servicio específica dispongan lo contrario,todas las suscripciones y/o ventas son definitivas y no reembolsables, por lo tanto, se excluye expresamente cualquier tipo de derecho o facultad de retracto, arrepentimiento, restitución o'cualquier símil. SDM SpA se reserva el derecho de efectuar reembolsos u otorgar créditos, a su criterio exclusivo, a menos que la ley le obligue a lo contrario. Si efectúa un reembolso otorgando un crédito, no tendrá la obligación de volver a efectuar el mismo reembolso o uno similar en el futuro. Esta política de reembolso no afecta ningún derecho legal no disponible irrenunciable que pueda aplicarse En caso de producirse alguna vulneración de alguna de las obligaciones del numeral 5.1 de estos T&C, SDM SpA se reserva el derecho de interrumpir el servicio de inmediato, sin necesidad de aviso previo respecto de todos los usuarios que formen parte de la Organización,hasta esclarecer lo sucedido.En caso de que se identifique que la vulneración constituye un incumplimiento grave de las obligaciones de los presentes términos y condiciones SDM SpA podrá dar por terminado el contrato ipso facto, sin perjuicio de su derecho a ser íntegramente indemnizado por losperjuicios ocasionados.Se considerará incumplimiento grave cuando la vulneración de alguna de estas obligaciones por cualquier usuario afecte la confidencialidad, disponibilidad, integridad y buen funcionamiento de la Plataforma de DP, o bien, cuando se infrinja las normas de la legislación aplicable.Las partes no renuncian a las indemnizaciones legales que fueren procedentes cuando -colocación de un incumplimiento contractual o legal- se produjeran daños a la otra.6.6. Disposiciones misceláneas.6.6.1 Resolución de Controversias: Cualquier dificultad o controversia que se produzca entre los contratantes respecto de la aplicación, interpretación, duración, validez o ejecución de este Contrato o cualquier otro motivo será sometida a la decisión de un árbitro arbitrador,conforme a lo siguiente:Si el Contratante es SDM SpA, el arbitraje se someterá al Reglamento Procesal de Arbitraje del Centro de Arbitraje y Mediación de Santiago, vigente al momento de solicitarlo.Las partes confieren poder especial irrevocable a la Cámara de Comercio de SANTIAGO A.G,para que, a petición escrita de cualquiera de ellas, designe a un árbitro arbitrador de entre los integrantes del cuerpo arbitral del Centro de Arbitraje y Mediación de Santiago. El árbitro queda especialmente facultado para resolver todo asunto relacionado con su competencia y/ojurisdicción. Para todos los efectos, el domicilio del Suscriptor corresponderá aquel que aparezca en la respectiva facturación y el domicilio de SDM SpA aquel que corresponda según el país de contratación en virtud de lo dispuesto en el numeral 1.1 de estos T&C.6.6.2 Principio de supletoriedad: El presente acuerdo se aplica de forma supletoria a cualquier acuerdo suscrito con anterioridad, prevaleciendo en todo caso este último para el caso de contradicción. En caso de que se suscriba un nuevo contrato posterior a estos T&C en ningún caso se entenderán estos derogados, salvo mención expresa y, en consecuencia, salvo disposición contraria, aplicarán supletoriamente a todo lo no regulado expresamente.6.6.3 Principio de conservación: Si por cualquier motivo o aplicación de la Legislación Respectiva se considerase que no aplican o son nulas una o más cláusulas ello no afectará el resto del documento que seguirá siendo válido en lo que no fuese incompatible con las respectivas legislaciones que apliquen.6.6.4 Caso de Suscriptor persona natural que contrate para su uso personal: Tratándose de casos en que el Suscriptor sea una persona natural que ha contratado el Servicio para su uso particular, se entiende que el Suscriptor, por este acto, consiente y acepta expresamente el tratamiento de sus datos personales por parte de SDM SpA, y el subtratamiento por parte de los Proveedores de Servicios enumerados en la sección 5.2.8 anterior.Asimismo, se entenderá que para estos casos el Contrato de Encargado de Tratamiento Contemplado en la sección 6.4 anterior será celebrado entre el Suscriptor, como Titular de losDatos Personales y a su vez como Responsable del Tratamiento, respecto de sus propios datos personales, y SDM SpA como Encargado del Tratamiento.7. Actualización de los T&C: Los presentes Términos y Condiciones podrán ser actualizados,bastando para dicho efecto un envío de correo electrónico por parte de SDM SpA a la dirección de correo registrada en la Plataforma, indicándose en él los cambios efectuados y el texto final, y el tiempo estipulado para la entrada en vigencia de dichos cambios. Las Modificaciones efectuadas siempre deberán obedecer a cambios comerciales, técnicos u operacionales necesarios para poder seguir prestando el servicio y no podrán imponer gravámenes no pactados fuera de la naturaleza para la utilización del servicio.La Organización (o la persona natural que haya contratado el Servicio para sí) acepta expresamente este derecho de modificar que tendrá SDM SpA, mostrando su conformidad con el mismo.