Explore nuestros productos
Explore nuestros productos

Menú Utilidades

Volver a Información legal

ANEXO DE TRATAMIENTO DE DATOS

Revisión: 1 de enero de 2025

Este Anexo de tratamiento de datos incluye los Anexos 1 (Descripción del Tratamiento) y 2 (Términos de transferencia regional) ("DPA"). Este DPA complementa los Términos del servicio y demás acuerdos escritos y forma parte de ellos (el "Acuerdo" entre GoTo y el "Cliente") y se aplica al Tratamiento de Datos Personales del Cliente que hace GoTo en relación con los Servicios adquiridos en virtud del Acuerdo. Este DPA entra en vigor cuando el Cliente (a) acepta un Acuerdo o firma un Pedido que haya incorporado este DPA en sus términos, o (b) usa los Servicios tras su publicación en el sitio web de GoTo (la "Fecha de entrada en vigor"). Los términos de este DPA prevalecen en caso de conflicto con los términos del Acuerdo.

El Cliente acepta este DPA en su nombre y, si así lo requieren las Leyes de protección de datos, en nombre de sus Filiales autorizadas. Cuando se usa la palabra "Cliente" en este DPA, se hace referencia a la Entidad contratante cliente y sus Filiales autorizadas, y la Entidad contratante cliente, en su nombre y en el de sus Filiales autorizadas: (a) es responsable de coordinar, realizar y recibir todas las comunicaciones con GoTo en virtud de este DPA; y (b) ejerce todos sus derechos y los derechos de sus Filiales autorizadas en virtud de este DPA de forma combinada. A menos que se especifique otra cosa en este DPA, "GoTo" significa la Entidad contratante GoTo y sus Filiales.

Cuando las Partes firman o aceptan el Acuerdo o cualquier Formulario de pedido, firman y aceptan la siguiente documentación, en la medida en que sea aplicable: (a) las cláusulas contractuales tipo brasileñas; (b) las cláusulas contractuales tipo de la UE; y (c) el Anexo del Reino Unido a las cláusulas contractuales tipo de la UE.


1. DEFINICIONES
En este DPA, los términos incluidos a continuación tienen el significado que se indica. A menos que se indique otra cosa en este DPA, los términos con inicial mayúscula no definidos a continuación tienen el significado que se les atribuye en el Acuerdo.

"Filial" significa, (a) con respecto al Cliente, cualquier entidad que directa o indirectamente controle la entidad en cuestión, esté controlada por ella o esté bajo control común con ella, y (b) con respecto a GoTo, cualquier entidad directa o indirectamente controlada por GoTo Group Parent, Inc. "Controlar", a los efectos de esta definición, significa poseer o controlar directa o indirectamente más del 50% del capital social o el derecho de voto de la entidad en cuestión.

"Filial autorizada" significa cualquier Filial del Cliente que: (i) deba cumplir las Leyes de protección de datos; y (ii) tenga autorización del Cliente para usar los Servicios conforme al Acuerdo entre el Cliente y GoTo, pero no haya firmado su propio Formulario de pedido con GoTo y no sea "Cliente" en virtud del Acuerdo de ninguna otra forma.

"Cláusulas contractuales tipo brasileñas" o "SCC brasileñas" significa las cláusulas contractuales tipo anexas a la Resolución CD/ANPD n.º 19/2024 promulgada por la autoridad nacional de protección de datos brasileña (la "Autoridade Nacional de Proteção de Dados" o "ANPD"), que pueden modificarse.

"CCPA" significa la Ley de Privacidad del Consumidor de California, modificada por la Ley de Derechos de Privacidad de California de 2020 o "CPRA" (Código Civil de California § 1798.100-1798.199.100 y siguientes) y sus reglamentaciones de implementación; puede modificarse o sustituirse.

"Responsable del tratamiento" significa la entidad que determina los propósitos y los medios del Tratamiento de Datos personales.

"Transferencia transfronteriza de datos" significa el acto de enviar Datos personales originados en un país a otro país o de compartir dichos Datos personales con otro país (o, en el caso del Espacio Económico Europeo, enviar dichos Datos personales a un país fuera del Espacio Económico Europeo o compartirlos con un país de ese tipo). En las Transferencias transfronterizas de datos se incluyen las Transferencias restringidas.

"Contenido del cliente" significa los archivos, los documentos, las grabaciones, los registros de chat, las transcripciones y datos similares que GoTo mantiene en nombre del Cliente o sus clientes, y cualquier otra información que el Cliente o sus clientes puedan cargar en la cuenta de Servicios del Cliente en relación con los Servicios.

"Leyes de protección de datos" significa todas las leyes y normativas de protección de datos y privacidad aplicables, lo que incluye las leyes y las normativas de Brasil, la Unión Europea, el Espacio Económico Europeo y sus Estados miembros, Suiza, el Reino Unido y Estados Unidos y sus estados (incluido, por ejemplo, California), en cada caso en la medida aplicable al Tratamiento de Datos personales en virtud del Acuerdo.

"Interesado" significa, según corresponda: (i) la persona identificada o identificable a la que se refieren los Datos personales según la definición de las Leyes de protección de datos; o (ii) un "Consumidor" según la definición del término que hace la CCPA.

"Solicitud del interesado" significa una solicitud de un Interesado para ejercer los derechos sobre sus Datos personales que le conceden las Leyes de protección de datos. Entre esos derechos se incluyen, según corresponda, los de (i) acceso; (ii) rectificación; (iii) restricción del tratamiento; (iv) borrado (por ejemplo, el "derecho al olvido"); (v) portabilidad de datos; (vi) conocimiento de cualquier actividad de uso compartido de primeros o terceros; (vii) conocimiento de las actividades de tratamiento pertinentes de GoTo; (viii) revisión de las consecuencias de cualquier objeción o retirada de consentimiento; (ix) ausencia de toda decisión automatizada; u (x) oposición al Tratamiento.

"Cláusulas contractuales tipo de la UE" o "SCC de la UE" significa las cláusulas contractuales tipo adjuntas a la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, que pueden modificarse.

"RGPD" significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos), que puede modificarse o sustituirse.

"GoTo" significa GoTo y las Filiales que participen en el Tratamiento de Datos personales en relación con la prestación de los Servicios al Cliente.

"LGPD" significa la ley n.º 13.709 de Brasil, la Ley General de Protección de Datos Personales, que puede modificarse o sustituirse.

"Parte" o "Partes" significa el Cliente o GoTo de forma individual o ambas entidades juntas, respectivamente, según corresponda.

"Datos personales" significa cualquier información del Cliente recibida por GoTo del Cliente o en nombre del Cliente en virtud del Acuerdo relacionada con: (i) una persona física identificada o identificable (por ejemplo, un Interesado o un Consumidor); (ii) un hogar en virtud de la CCPA; o (iii) cualquier elemento que constituya información personal o una construcción similar en virtud de la legislación aplicable, en cada caso, donde dicha información la mantenga en nombre del Responsable del tratamiento el Encargado del tratamiento en su entorno de Servicios y reciba una protección similar a la de los datos personales, la información personal o la información personal de identificación en virtud de las Leyes de protección de datos. Sin perjuicio de lo anterior, si la información del Cliente se ajusta de otro modo a esta definición, pero está excluida de la definición de datos personales en virtud de las Leyes de protección de datos, dicha información no se incluirá en los Datos personales en virtud de este DPA.

"Tratamiento" significa cualquier operación o cualquier conjunto de operaciones que se aplique a Datos personales, por medios automáticos o no, como la recopilación; la grabación; la organización; la estructuración; el almacenamiento; la adaptación o modificación; la recuperación; la consulta; el uso; la revelación por transmisión, difusión o cualquier otro medio; la alineación o combinación; la restricción; el borrado; o la destrucción.

"Encargado del tratamiento" significa la entidad que trata Datos personales en nombre del Responsable del tratamiento, incluidos, según corresponda, los "Proveedores de servicios" según la definición del término en la CCPA.

"Transferencia restringida" significa una transferencia de Datos personales realizada por GoTo desde el país (o, en el caso de la Unión Europea, desde el EEE) en el que se originan los datos hasta cualquier otra jurisdicción cuyas leyes no haya considerado adecuadas el regulador correspondiente, cuando la Ley de protección de datos exija tal determinación. Una transferencia de Datos personales a Estados Unidos de conformidad con el Marco de Privacidad de Datos UE-EE. UU. y la extensión del Reino Unido a dicho Marco o el Marco de Privacidad de Datos Suiza-EE. UU. no es una Transferencia restringida.

"Incidente de seguridad" significa cualquier fallo de la seguridad de GoTo del que GoTo tenga conocimiento que provoque destrucción, pérdida, modificación, revelación no autorizada o acceso, de forma accidental o ilegal, a Datos personales tratados por GoTo en calidad de Encargado del tratamiento o subencargado del tratamiento con respecto al Cliente o a Datos personales tratados por subencargados del tratamiento de GoTo.

"Datos de servicios" significa (a) cualquier dato, incluidos los Datos personales, tratado por GoTo para almacenar, transmitir o intercambiar Contenido del cliente; enviar mercancías; y prestar los Servicios. Son datos como la dirección de envío; datos usados para localizar e identificar el origen y el destino de una comunicación (incluidos los números de teléfono); datos sobre la ubicación del dispositivo generados en el contexto de la prestación de los Servicios; datos sobre el enrutamiento, la fecha, la hora, la duración, el tipo y otras circunstancias de la comunicación; o datos proporcionados por los canales usados por el Cliente para comunicarse con sus clientes; (b) datos sobre las comunicaciones del Cliente con GoTo (como consultas y solicitudes de asistencia) y otra información similar; y (c) Datos personales relativos a la relación del Cliente con GoTo (como nombres, números de teléfono o información de contacto de personas autorizadas por el Cliente a acceder a la cuenta del Cliente o a usar los Servicios) e información de facturación.

"Subencargado del tratamiento" significa cualquier Encargado del tratamiento contratado por GoTo para que ayude a GoTo a cumplir las obligaciones relativas a la prestación de los Servicios de conformidad con el Acuerdo.

"Autoridad supervisora" significa una autoridad pública independiente establecida en virtud de la legislación aplicable para supervisar el cumplimiento de las Leyes de protección de datos.

"FADP suiza" significa la Ley Federal Suiza de Protección de Datos de 25 de septiembre de 2023, que puede modificarse o sustituirse.

"Medidas técnicas y organizativas" o "TOM" significa la documentación de las Medidas técnicas y organizativas de los Servicios de GoTo del Trust Center de GoTo.

"Anexo del Reino Unido" significa el Anexo a las SCC de la UE para la Transferencia Internacional de Datos, aprobado por el Comisario de Información en virtud de la sección 119A de la Ley de Protección de Datos de 2018, y sus modificaciones.

"Ley de protección de datos del Reino Unido" significa todas las leyes relativas a la protección de datos, el Tratamiento de Datos personales, la privacidad o las comunicaciones electrónicas vigentes en el Reino Unido, lo que incluye el RGPD del Reino Unido y la Ley de Protección de Datos de 2018, que pueden modificarse o sustituirse.
2. TRATAMIENTO DE DATOS PERSONALES
2.1 Relación de las Partes.
2.1.1 Con respecto al Tratamiento de Datos personales realizado por GoTo en nombre del Cliente, el Cliente es el Responsable del tratamiento o un Encargado del tratamiento que trata Datos personales para un Responsable del tratamiento externo, y GoTo es el Encargado del tratamiento o un Subencargado del tratamiento con respecto al Cliente.
2.1.2 Sin perjuicio de lo dispuesto en la sección 2.1.1, GoTo es un Responsable del tratamiento independiente con respecto a los Datos personales del Contenido del cliente y los Datos del servicio y la Cuenta cuando GoTo los trata con los siguientes propósitos: (i) facturación, cuenta, gestión de relaciones con los Clientes (comunicaciones de marketing y relacionadas con la cuenta con personal de compras, ventas y otro personal del Cliente) y correspondencia relacionada con el Cliente (comunicaciones sobre elementos relacionados con la cuenta, como actualizaciones necesarias); (ii) cumplimiento de sus obligaciones legales; (iii) atención de solicitudes de asistencia, quejas y consultas; (iv) atención y seguimiento de disputas y reclamaciones legales; (v) detección y gestión de infracciones de la Política de uso aceptable de GoTo y sus Términos del servicio; e (vi) investigación de incidentes de seguridad y protección del entorno del Servicio. GoTo seudonimizará o agregará los Datos personales en la medida de lo posible con los siguientes propósitos: (a) mantenimiento, supervisión del rendimiento y mejora del Servicio; (b) elaboración de informes internos y financieros, previsión y modelado de ingresos y planificación (incluida la estrategia del producto) y planificación de la capacidad; y (c) recepción de comentarios sobre nuestros Servicios.
2.2 Detalles del Tratamiento. Las categorías de Interesados, las categorías de Datos personales transferidos, los datos confidenciales transferidos (en su caso), la frecuencia de la transferencia, la naturaleza y el propósito de los Datos personales transferidos y tratados, la retención de los Datos personales y la materia del Tratamiento se especifican en el Anexo 1 (Descripción del Tratamiento) de este DPA.
3. RESPONSABILIDADES DEL CLIENTE
3.1 Cumplimiento de la Ley de protección de datos. Al usar los Servicios, el Cliente tratará los Datos personales de acuerdo con las disposiciones de la Ley de protección de datos aplicable y se asegurará de cumplir lo estipulado sobre comunicación de avisos y de obtener las autorizaciones correspondientes para permitir que GoTo trate los Datos personales de conformidad con el Acuerdo. Si el Cliente es Encargado del tratamiento con respecto a un Responsable del tratamiento externo, el Cliente garantiza que sus instrucciones y sus acciones con respecto a los Datos personales que GoTo trata en virtud del Acuerdo están autorizadas por el correspondiente Responsable del tratamiento externo. Entre las partes, el Cliente es el único responsable de la exactitud, la calidad y la legalidad de los Datos personales, y de cómo adquiere los Datos personales.
3.2 Cooperación. El Cliente proporcionará a GoTo toda la información y acceso necesarios para permitir que GoTo siga las instrucciones del Cliente.
4. RESPONSABILIDADES DE GOTO
4.1 Cumplimiento de las Leyes de protección de datos. Al tratar Datos personales en virtud del Acuerdo, GoTo cumplirá las disposiciones de las Leyes de protección de datos aplicables y, donde proceda, proporcionará el mismo nivel de protección de la privacidad a dichos Datos personales que el exigido al Cliente por dichas leyes.
4.2 Limitaciones del Tratamiento e instrucciones del Cliente.
4.2.1 Cuando GoTo sea Encargado del tratamiento o Subencargado del tratamiento, GoTo solo tratará los Datos personales del Cliente en su nombre de acuerdo con las instrucciones documentadas del Cliente, que se consideran dadas, con los siguientes propósitos: (i) Tratamiento de conformidad con el Acuerdo y los correspondientes Formularios de pedido; (ii) Tratamiento iniciado por los usuarios en su uso de los Servicios; y (iii) Tratamiento para cumplir otras instrucciones razonables documentadas proporcionadas por el Cliente (por ejemplo, por correo electrónico) si dichas instrucciones están en consonancia con los términos del Acuerdo. Cuando GoTo actúe como Responsable del tratamiento, GoTo tratará los Datos personales del Cliente con los propósitos indicados en la sección 2.1.2.
4.2.2 GoTo informará al Cliente si prevé tener que hacer frente a gastos o tarifas adicionales no cubiertos por las tarifas de los Servicios para seguir las instrucciones del Cliente, y el Cliente pagará dichos Servicios adicionales según las tarifas vigentes de GoTo.
4.2.3 GoTo informará inmediatamente al Cliente si, en su opinión, alguna instrucción del Cliente entra en conflicto con los requisitos de la Ley de protección de datos o los incumple.
4.3 Seguridad. Teniendo en cuenta la tecnología de vanguardia, los costes de implementación y la naturaleza, el alcance, el contexto y los propósitos del tratamiento, así como los riesgos de diferentes probabilidad y gravedad para los derechos y las libertades de las personas físicas, GoTo implementará y mantendrá medidas técnicas y organizativas adecuadas para proteger la seguridad (lo que incluye la protección contra Incidentes de seguridad), la confidencialidad y la integridad del Contenido del cliente, como se indica en el documento de Medidas técnicas y organizativas correspondiente, disponible en el Trust Center de GoTo. El Cliente reconoce que las TOM pueden progresar y desarrollarse, y que GoTo puede actualizar o modificar las TOM. Al hacerlo, GoTo no disminuirá ni degradará la seguridad general de los Servicios.
4.4 Confidencialidad y formación del personal. El personal de GoTo que participa en el Tratamiento de los Datos personales del Cliente (i) ha sido informado sobre la naturaleza confidencial de los Datos personales del Cliente; (ii) ha aceptado acuerdos de confidencialidad escritos u obligaciones de confidencialidad legales; (iii) ha recibido formación adecuada sobre sus responsabilidades, específicamente en el ámbito de las medidas de seguridad y privacidad; y (iv) solo tiene acceso a Datos personales si se determina razonablemente que es necesario para que cumpla sus obligaciones y sus responsabilidades o realice sus funciones.
4.5 Evaluaciones de impacto sobre la protección de datos; consultas previas. GoTo cooperará con el Cliente y le proporcionará asistencia razonable si, en relación con su uso de los Servicios, las Leyes de protección de datos exigen al Cliente que realice una evaluación de impacto sobre la privacidad, una evaluación de impacto sobre la protección de datos o una revisión de la privacidad similar de sus actividades de Tratamiento, o que realice una consulta previa con una Autoridad supervisora.
4.6 Solicitudes de los interesados. Si el Cliente recibe una Solicitud del interesado de un Interesado, el Cliente puede (i) acceder de forma segura a la cuenta del Cliente para gestionar la solicitud o, (ii) si el Cliente requiere asistencia de GoTo para atender la solicitud, enviar un ticket de asistencia al equipo de asistencia de GoTo con instrucciones detalladas sobre la ayuda que se necesita de GoTo para atender la solicitud. Si GoTo recibe una Solicitud del interesado directamente de un Interesado, GoTo transmitirá sin demora la solicitud al Cliente o aconsejará al Interesado que se ponga en contacto con el correspondiente Responsable del tratamiento. En todos los casos, el Cliente es responsable de verificar la identidad del Interesado y evaluar la validez de la Solicitud del interesado. GoTo no es responsable de la información proporcionada de buena fe al Cliente de conformidad con esta subsección.
4.7 Notificación de Incidentes de seguridad. GoTo notificará al Cliente sin demoras indebidas cualquier Incidente de seguridad. GoTo hará un esfuerzo razonable para identificar la causa de dicho Incidente de seguridad y tomará medidas razonables para remediar la causa de dicho Incidente de seguridad si es razonable que GoTo la remedie. Adicionalmente, GoTo proporcionará al Cliente información pertinente sobre el Incidente de seguridad, si es razonable para ayudar al Cliente a cumplir sus obligaciones de conformidad con las Leyes de protección de datos, como realizar notificaciones a las Autoridades supervisoras o los Interesados. Las notificaciones o la información transmitidas en virtud de esta sección no se interpretarán como una admisión de fallo o responsabilidad por parte de GoTo.
4.8 Subencargados del tratamiento.
4.8.1 El Cliente proporciona a GoTo una autorización general para contratar a Filiales de GoTo y otros Subencargados del tratamiento externos para la prestación y la gestión de los Servicios. Antes de contratar a cualquier Subencargado del tratamiento, GoTo aceptará un acuerdo escrito con cada Subencargado del tratamiento en el que se impondrán términos que garanticen una protección no inferior a la impuesta a GoTo en este DPA.
4.8.2 GoTo mantiene una lista de Subencargados del tratamiento para el Servicio en su Trust Center. Si el Cliente desea recibir notificaciones de GoTo sobre la propuesta de nombramiento de nuevos Subencargados del tratamiento, el Cliente puede suscribirse para recibirlas aquí. El Cliente puede presentar su objeción escrita (se acepta por correo electrónico), de buena fe y razonable a las propuestas de nombramiento de Subencargados del tratamiento en un plazo de 15 días desde la recepción de la notificación de GoTo. Si GoTo es capaz de prestar los Servicios razonablemente sin recurrir al Subencargado del tratamiento propuesto y opta por hacerlo, el Cliente no tendrá ningún otro derecho con respecto al asunto. Si GoTo no puede o no quiere comunicar dicho cambio en un periodo de tiempo razonable, el Cliente puede, proporcionando un aviso escrito a GoTo, rescindir los correspondientes Formularios de pedido únicamente con respecto a los Servicios que no puede prestar GoTo sin recurrir al Subencargado del tratamiento. Si en el plazo correspondiente el Cliente no presenta ninguna objeción a un Subencargado del tratamiento propuesto, se considerará que el Cliente ha dado su consentimiento al Subencargado del tratamiento propuesto y ha renunciado a su derecho a presentar objeciones.
4.8.3 GoTo será responsable ante el Cliente por las acciones y las omisiones de sus Subencargados del tratamiento si no cumplen sus obligaciones de protección de datos con respecto a las actividades de Tratamiento pertinentes en virtud del Acuerdo.
5. OBLIGACIONES DE GOTO EN VIRTUD DE LA LEY DE PRIVACIDAD DEL CONSUMIDOR DE CALIFORNIA (CCPA)
En la sección 5, los términos con inicial mayúscula no definidos en el DPA tienen el significado que se les atribuye en la CCPA. Las siguientes disposiciones se aplican al Tratamiento de Datos personales que realiza GoTo como Proveedor de servicios si a los Datos personales se les aplica la CCPA:
5.1 Obligaciones. GoTo: (a) tratará los Datos personales de acuerdo con los requisitos de la CCPA que se le aplican a GoTo como Proveedor de servicios del Cliente, proporcionando un nivel adecuado de protección de la privacidad de acuerdo con la CCPA; (b) avisará al Cliente si cree razonablemente que no puede seguir cumpliendo sus obligaciones de conformidad con la CCPA; (c) concederá al Cliente el derecho, de acuerdo con la sección 6 del DPA (Certificaciones y auditorías de terceros), a tomar medidas razonables y apropiadas para garantizar que el uso que haga GoTo de los Datos personales recopilados de conformidad con el Acuerdo esté en consonancia con las obligaciones de privacidad y seguridad de GoTo en virtud del Acuerdo y la CCPA; y (d) previa solicitud del Cliente, que debe proporcionarse a GoTo con una antelación razonable, cooperará con el Cliente con el propósito de determinar medidas razonables y adecuadas para detener y remediar el uso no autorizado (es decir, el uso que no esté en consonancia con los términos del Acuerdo o las Leyes de protección de datos) de los Datos personales del Cliente.
5.2 Prohibiciones. GoTo no (a) venderá ni compartirá Datos personales del Cliente que recopile en virtud del Acuerdo con el Cliente, ni (b) retendrá, usará ni revelerá los Datos personales que recopile en virtud del Acuerdo (i) con propósitos diferentes de los propósitos empresariales o comerciales indicados en el Acuerdo o permitidos por la CCPA ni (ii) fuera de la relación empresarial directa entre las Partes, a menos que la CCPA lo permita expresamente.
6. CERTIFICACIONES Y AUDITORÍAS DE TERCEROS
6.1 Información y solicitudes. GoTo ha puesto a disposición del Cliente información necesaria para demostrar razonablemente el cumplimiento de sus obligaciones en virtud de este DPA, también en la forma de las aplicables certificaciones o auditorías de terceros, incluidas las especificadas en las Medidas técnicas y organizativas aplicables, disponibles en el Trust Center de GoTo o las páginas de asistencia del producto. Si el Cliente no puede verificar razonablemente que GoTo cumple este DPA basándose en la información proporcionada por GoTo, el Cliente puede solicitar, no más de una vez cada doce meses, que GoTo proporcione, de forma confidencial, información escrita razonable relacionada con su Tratamiento de los Datos personales del Cliente en virtud del Acuerdo que GoTo suele poner a disposición de su base de clientes. El Cliente puede realizar esta solicitud a GoTo poniéndose en contacto directamente con su ejecutivo de cuentas o poniéndose en contacto con un representante de ventas de GoTo.
6.2 Revisiones normativas. Si el Cliente necesita, para responder una consulta de un regulador de privacidad en virtud de las Leyes de protección de datos, información no disponible en la información identificada en la sección 6.1, el Cliente puede solicitar que se realice una auditoría, de forma confidencial, de los procedimientos de GoTo relacionados con la protección de Datos Personales en virtud de este DPA. El Cliente y GoTo acordarán mutuamente el alcance, los procedimientos, el calendario, la duración o los gastos reembolsables (en su caso) de la auditoría antes de iniciar la revisión. El Cliente: (a) proporcionará sin demora a GoTo información sobre cualquier incumplimiento detectado durante una auditoría; y (b) hará todo lo posible para reducir al mínimo la interferencia con las operaciones empresariales de GoTo al realizar las auditorías mencionadas.
7. ELIMINACIÓN Y DEVOLUCIÓN DE CONTENIDO DEL CLIENTE
Para muchos Servicios, GoTo pone a disposición de los administradores del Cliente funciones que les permiten eliminar o exportar Contenido. Los Clientes pueden servirse de estas funciones en cualquier momento. Cuando dichas funciones no están disponibles, o cuando el Cliente requiere asistencia adicional de GoTo, se aplican las disposiciones indicadas a continuación. Tras la rescisión o el vencimiento del Acuerdo del Cliente, después de que el Cliente deje de usar su cuenta de GoTo o antes, previa solicitud escrita del Cliente, GoTo eliminará y hará irrecuperable el Contenido del cliente, incluidos los Datos personales que contenga, si la ley aplicable lo permite. Los periodos de retención de datos automática seguirán los procedimientos y los plazos especificados en las Medidas técnicas y organizativas aplicables. Previa solicitud escrita del Cliente, GoTo (a) certificará la eliminación del Contenido del cliente, (b) probará dicha eliminación y, (c) si lo permite la ley aplicable, (i) devolverá al Cliente o al representante del Cliente el Contenido del cliente, incluidos los Datos personales que contenga, retenido por GoTo o (ii) indicará al Cliente cómo realizar una exportación de datos de autoservicio (donde esté disponible). El Cliente puede realizar dichas solicitudes enviando un ticket de asistencia al equipo de asistencia de GoTo con instrucciones detalladas sobre la ayuda que necesita de GoTo. En todos los casos, los periodos de retención predeterminados de GoTo para el Contenido, cuando actúa como Encargado del tratamiento con respecto al Cliente, se establecen en las correspondientes TOM de Servicios, disponibles en el Trust Center de GoTo.

 
8. SOLICITUDES GUBERNAMENTALES DE DATOS PERSONALES DE CLIENTES
Si GoTo recibe una citación civil o penal, una orden de registro u otra solicitud oficial escrita legalmente vinculante ("Solicitud") de una autoridad pública ("Parte solicitante") que solicite revelación de Datos personales del Cliente, GoTo gestionará dichas solicitudes de acuerdo con su Política de solicitudes gubernamentales vigente. A menos que se indique otra cosa en nuestra Política de solicitudes gubernamentales, GoTo (a) notificará sin demora al Cliente la Solicitud para permitir al Cliente solicitar una orden de restricción u otro remedio apropiado si la Solicitud no lo excluye; (b) revisará la Solicitud para determinar si la Solicitud es válida y si GoTo tiene la obligación legal de revelar Datos personales; (c) rechazará o impugnará cualquier solicitud que no sea no válida, legalmente vinculante y legal; y (d) cuestionará cualquier Solicitud inapropiada o demasiado general. Cuando deban proporcionarse Datos personales del Cliente, GoTo revelará los Datos personales mínimos necesarios para satisfacer la Solicitud y solicitará garantías de que los Datos personales del Cliente reciban tratamiento confidencial del Solicitante.
9. TRANSFERENCIAS TRANSFRONTERIZAS DE DATOS
GoTo opera a nivel mundial y puede realizar Transferencias transfronterizas de datos a sus Subencargados del tratamiento o sus Filiales para prestar sus Servicios. Algunas jurisdicciones exigen que las partes de un contrato adopten medidas de protección para dichas transferencias. En esta sección se describen las medidas de protección que las Partes han acordado que rijan dichas transferencias en virtud del Acuerdo.
9.1 Reconocimiento de Privacidad para Encargados del Tratamiento de la APEC. GoTo ha obtenido la certificación del Reconocimiento de Privacidad para Encargados del tratamiento ("PRP") de Cooperación Económica Asia-Pacífico ("APEC") y tratará los Datos personales, donde corresponda, de acuerdo con las obligaciones y las responsabilidades de un Encargado del tratamiento conforme al Marco de Privacidad de la APEC.
9.2 Términos regionales. Los términos adicionales relacionados con las Transferencias transfronterizas de datos personales conforme a la LGPD, el RGPD, la Ley de Protección de Datos del Reino Unido y la FADP suiza se establecen en el Anexo 2 (Términos de transferencia regional), que se incorpora a este DPA por referencia.
10. LIMITACIÓN DE RESPONSABILIDAD
La responsabilidad de cada Parte (incluida la responsabilidad de todas sus Filiales) derivada de este DPA y de todos los DPA existentes entre las Filiales autorizadas y GoTo, tanto contractual, como extracontractual o basada en cualquier otra teoría de la responsabilidad, cumple la sección "Limitación de responsabilidad" del Acuerdo, y cualquier referencia a la responsabilidad de una Parte significa la responsabilidad total de esa Parte y todas sus Filiales en virtud del Acuerdo.
11. HIPAA
Si el Cliente debe cumplir la Ley de Transferencia y Responsabilidad de Seguro Médico de 1996 (Ley Pública n.º 104-191 [1996]), modificada por la Ley de Reinversión y Recuperación de Estados Unidos de 2009 (Ley Pública n.º 111-5 [2009]) y sus reglamentaciones de aplicación implementación (colectivamente, "HIPAA"), el Cliente no podrá utilizar los Servicios para crear, recibir, mantener, transmitir o procesar de cualquier otro modo cualquier información que incluya o constituya "Información de salud protegida", tal y como se define en la Norma de Privacidad de la HIPAA (título 45 del CFR, artículo 160.103), a menos que el Cliente haya firmado un Acuerdo de Asociado Comercial ("BAA") con GoTo antes de crear, recibir, mantener, transmitir o procesar de cualquier otro modo esta información utilizando el Servicio. El BAA de GoTo está disponible aquí y, una vez aceptado, se incorporará a este DPA.
12. EFECTO LEGAL Y CONFLICTO
En la medida en que lo permita la ley, este DPA sustituye en su totalidad a todos los DPA y acuerdos similares anteriores. En caso de conflicto entre los términos del Acuerdo y este DPA, prevalecerán los términos de este DPA. En caso de conflicto entre los términos de (a) el DPA y (b) las Cláusulas contractuales tipo brasileñas, las Cláusulas contractuales tipo de la UE o el Anexo del Reino Unido, según corresponda, prevalecerán estos últimas.

Lista de Anexos:

Anexo 1: Descripción del Tratamiento

Anexo 2: Términos de transferencia regional

 

MÓDULO 1: DESCRIPCIÓN DEL TRATAMIENTO
Categorías de Interesados

Contenido del cliente

El Cliente puede enviar Datos personales a los Servicios, y la medida de dicho envío la determina y controla el Cliente a su total discreción. Entre los Datos personales enviados pueden incluirse, por ejemplo, Datos personales relacionados con las siguientes categorías de Interesados:

  • Posibles clientes, clientes, asociados comerciales y proveedores del Cliente (personas físicas)
  • Empleados o personas de contacto de posibles clientes, clientes, asociados comerciales y proveedores del Cliente
  • Empleados, agentes, asesores y trabajadores autónomos del Cliente (personas físicas)
  • Clientes del Cliente (personas físicas) autorizados por el Cliente a usar los Servicios (incluidos invitados y asistentes a seminarios web o reuniones), personas que realizan o reciben llamadas y personas a las que presta asistencia

Datos de servicios

  • Posibles clientes, clientes, asociados comerciales y proveedores del Cliente (personas físicas)
  • Empleados o personas de contacto de posibles clientes, clientes, asociados comerciales y proveedores del Cliente
  • Empleados, agentes, asesores y trabajadores autónomos del Cliente (personas físicas)
  • Clientes del Cliente (personas físicas) autorizados por el Cliente a usar los Servicios (incluidos invitados y asistentes a seminarios web o reuniones), personas que realizan o reciben llamadas y personas a las que presta asistencia

 

Categorías de Datos personales tratadas

Contenido del cliente

El Cliente puede enviar Datos personales a los Servicios, y la medida de este envío la determina y controla el Cliente a su total discreción. Entre los Datos personales enviados pueden incluirse, por ejemplo, las siguientes categorías de Datos personales:

  • Información de contacto como nombre y apellidos, correo electrónico, teléfono, fax y dirección de trabajo física
  • Información técnica como datos de identificación de dispositivo y datos de tráfico (por ejemplo, direcciones MAC, registros web, dirección IP, etc.) y datos de nombre de usuario y contraseña
  • Información profesional o relacionada con el empleo como cargo, empresa actual o anterior, ubicación, parámetros de uso, afiliación escolar e información similar
  • Contenidos de audio y vídeo y fotografías, como grabaciones fijas y de vídeo y grabaciones de voz y transcripciones
  • Datos de la vida personal
  • Preferencias, como modo de contacto, preferencias horarias y preferencias de disponibilidad de calendario e idioma

Datos de servicios

GoTo puede recopilar y tratar posteriormente Datos personales contenidos en Datos de servicios, que pueden incluir, por ejemplo, las siguientes categorías de Datos personales:

  • Información de contacto como nombre y apellidos, correo electrónico, teléfono, fax y dirección de trabajo física, como la dirección de envío
  • Información comercial y financiera como servicios adquiridos o estudiados, historiales o tendencias de compra o consumo (incluida información necesaria para facilitar las transacciones con GoTo, como las transacciones de pagos), información relacionada con comentarios sobre productos y servicios de GoTo (como datos de encuestas de grupos focales), información sobre eventos de GoTo a los que se ha asistido o información recibida
  • Información técnica como datos de identificación de dispositivo y datos de tráfico (por ejemplo, direcciones MAC, registros web, dirección IP, etc.); datos de nombre de usuario y contraseña; datos utilizados para localizar e identificar el origen y el destino de una comunicación (como números de teléfono de interesados); datos sobre la ubicación del dispositivo generados en el contexto de la prestación de los Servicios, el enrutamiento, la fecha, la hora, la duración, el tipo y otras circunstancias de la comunicación; datos proporcionados por los canales utilizados por el Cliente para comunicarse con sus clientes; datos sobre las comunicaciones del Cliente con GoTo (como consultas y solicitudes de asistencia); y otra información similar.
  • Información profesional o relacionada con el empleo como cargo, empresa actual o anterior, ubicación, parámetros de uso, afiliación escolar e información similar
  • Contenidos de audio y vídeo y fotografías, como grabaciones fijas y de vídeo y grabaciones de voz y transcripciones, como contenido de llamadas de asistencia o reuniones de proyecto del cliente
  • Preferencias, como modo de contacto, preferencias horarias y preferencias de disponibilidad de calendario e idioma
  • Datos de asistencia como consultas, solicitudes, registros de solución de problemas e información similar

Datos personales confidenciales tratados (si procede)

Las Partes no prevén que se traten datos confidenciales. Sin embargo, es posible que el Cliente envíe datos confidenciales a los Servicios, que el Cliente determinará y controlará a su total discreción, para los que se especifican las medidas de protección correspondientes en el Anexo 2.

Naturaleza y propósito del tratamiento de Datos personales

GoTo recopila, registra, organiza, estructura, almacena, adapta o modifica, recupera, consulta, usa, revela por transmisión o difusión o pone a disposición de cualquier otra forma, alinea, combina, restringe, borra y destruye Datos personales mientras presta Servicios como Encargado del tratamiento o cuando trata Datos personales como Responsable del tratamiento. Los propósitos con los que trata Datos personales GoTo son los siguientes:

  • GoTo como Responsable del tratamiento independiente. Como se indica en la sección 2.1.2 del DPA, GoTo es un Responsable del tratamiento independiente de los Datos personales contenidos en el Contenido del cliente y los Datos de servicios cuando GoTo los trata con los siguientes propósitos: (i) facturación, cuenta, gestión de relaciones con los clientes (comunicaciones de marketing y relacionadas con la cuenta con personal de compras, ventas y otro personal del Cliente) y correspondencia relacionada con el Cliente (comunicaciones sobre elementos relacionados con la cuenta, como actualizaciones necesarias); (ii) cumplimiento de sus obligaciones legales; (iii) atención de solicitudes de asistencia, quejas y consultas; (iv) atención y seguimiento de disputas y reclamaciones legales; (v) detección y gestión de infracciones de la Política de uso aceptable de GoTo y el Acuerdo; e (vi) investigación de incidentes de seguridad y protección del entorno del Servicio. GoTo seudonimizará o agregará los Datos personales en la medida de lo posible con los siguientes propósitos: (a) mantenimiento, supervisión del rendimiento y mejora del Servicio; (b) elaboración de informes internos y financieros, previsión y modelado de ingresos y planificación (incluida la estrategia del producto) y planificación de la capacidad; y (c) recepción de comentarios sobre nuestros Servicios. La Entidad contratante de GoTo es el correspondiente Responsable del tratamiento independiente. Cuando GoTo es un Responsable del tratamiento independiente, trata los Datos personales de acuerdo con su Política de privacidad.
  • GoTo como Encargado del tratamiento. GoTo tratará Datos personales en calidad de Encargado del tratamiento o Subencargado del tratamiento y contratará Subencargados del tratamiento según sea necesario para prestar y gestionar los Servicios de conformidad con el Acuerdo, como se especifica en la documentación de las Medidas técnicas y organizativas y la lista de Subencargados del tratamiento aprobados pertinentes, ambas disponibles aquí, y siguiendo las instrucciones que dé el Cliente mediante su uso de los Servicios.

 

Retención de Datos personales
  • GoTo como Responsable del tratamiento independiente. Como se indica en nuestra Política de privacidad, no retenemos Datos personales más tiempo del necesario para el propósito empresarial con el que se recopilaron o más tiempo del necesario para cumplir nuestras obligaciones legales, resolver disputas y hacer cumplir nuestros acuerdos.
  • GoTo como Encargado del tratamiento. GoTo tratará y retendrá Datos personales en calidad de Encargado del tratamiento mientras esté en vigor el Acuerdo (a menos que se especifique otra cosa len las Medidas técnicas y organizativas), salvo que se acuerde otra cosa por escrito o la ley aplicable requiera o permita otra cosa.

 

Materia, naturaleza y duración del Tratamiento realizado por Subencargados del tratamiento
  • GoTo como Responsable del tratamiento independiente. Como se indica en la sección 2.1.2 del DPA, GoTo es un Responsable del tratamiento independiente de los Datos personales contenidos en el Contenido del cliente y los Datos de servicios cuando GoTo los trata con los siguientes propósitos: (i) facturación, cuenta, gestión de relaciones con los clientes (comunicaciones de marketing y relacionadas con la cuenta con personal de compras, ventas y otro personal del Cliente) y correspondencia relacionada con el Cliente (comunicaciones sobre elementos relacionados con la cuenta, como actualizaciones necesarias); (ii) cumplimiento de sus obligaciones legales; (iii) atención de solicitudes de asistencia, quejas y consultas; (iv) atención y seguimiento de disputas y reclamaciones legales; (v) detección y gestión de infracciones de la Política de uso aceptable de GoTo y sus términos del servicio; e (vi) investigación de incidentes de seguridad y protección del entorno del Servicio. GoTo seudonimizará o agregará los Datos personales en la medida de lo posible con los siguientes propósitos: (a) mantenimiento, supervisión del rendimiento y mejora del Servicio; (b) elaboración de informes internos y financieros, previsión y modelado de ingresos y planificación (incluida la estrategia del producto) y planificación de la capacidad; y (c) recepción de comentarios sobre nuestros Servicios. La Entidad contratante de GoTo es el correspondiente Responsable del tratamiento independiente. Cuando GoTo es un Responsable del tratamiento independiente, trata los Datos personales de acuerdo con su Política de privacidad. GoTo puede contratar Encargados del tratamiento para que le ayuden a realizar las tareas anteriores.
  • GoTo como Encargado del tratamiento. GoTo ofrece, directamente y por medio de sus Subencargados del tratamiento, una cartera de soluciones de asistencia e interacciones con clientes, colaboración y comunicación en la nube. El objetivo y el asunto del Tratamiento de Datos personales realizado por GoTo como Encargado del tratamiento es servir al Cliente y proporcionar, permitir y organizar la prestación de los Servicios.

 

ANEXO 2: TÉRMINOS DE TRANSFERENCIA REGIONAL

Las disposiciones indicadas a continuación se aplicarán si GoTo trata Datos personales que deban cumplir las Leyes de protección de datos incluidas a continuación.

A. TRANSFERENCIAS TRANSFRONTERIZAS DE DATOS DE LA LGPD
1. Los términos y condiciones contenidos en este Anexo 2, parte A se aplican únicamente si a los Datos personales tratados en virtud de este Acuerdo por GoTo se les aplica la LGPD.
2. GoTo (a) prestará sus Servicios en virtud de las obligaciones expresas impuestas por la LGPD a los Encargados del tratamiento en beneficio de los Responsables del tratamiento; y (b) de acuerdo con los artículos 33-36 de la LGPD, realizará Transferencias restringidas de Datos personales tomando como base las Cláusulas contractuales tipo brasileñas.
3. Cuando se apliquen las SCC brasileñas, se interpretarán de la siguiente manera:
En las cláusulas 4.1-4.8, se incluye la opción B. La cláusula 4.1 se completa como sigue:
a. Cuando el Cliente es el Responsable del tratamiento y GoTo es un Encargado del tratamiento
i. La cláusula 1.1 se completa como sigue:
Exportador (Responsable del tratamiento)
Nombre: véanse el Acuerdo o el Formulario de pedido
Cualificación: véanse el Acuerdo o el Formulario de pedido
Dirección principal: véanse el Acuerdo o el Formulario de pedido
Dirección de correo electrónico: véanse el Acuerdo o el Formulario de pedido
Contacto para el Interesado: véanse el Acuerdo o el Formulario de pedido
Otra información: no aplicable
E
Importador (Encargado del tratamiento)
Nombre: GoTo Technologies USA LLC, en su nombre y en el de las correspondientes Filiales
Cualificación: 5984112 (DE)
Dirección principal: 333 Summer Street, 5th Floor, Boston, MA 02210, Estados Unidos
Dirección de correo electrónico: privacy@goto.com
Contacto para el Interesado: no aplicable
Otra información: no aplicable
ii. La cláusula 2.1 se completa como sigue:
Propósito de la Transferencia de datos: permitir que GoTo preste Servicios al Cliente en virtud del Acuerdo.
Categorías de Datos personales transferidos: véase el Anexo 1 (Descripción del Tratamiento)
Periodo de almacenamiento de datos: véanse las TOM correspondientes en el Trust Center.
Otra información: no aplicable
iii. En la cláusula 3.1 se incluye la opción B y se completa como sigue:
Propósitos principales de la transferencia internacional de datos: véase la sección 2.1.2 del DPA.
Categorías de Datos personales transferidos: véase el Anexo 1 (Detalles del Tratamiento)
Periodo de retención de los datos: el periodo de retención de los datos puede variar en función del propósito específico, pero no será más del tiempo necesario para los propósitos empresariales con los que se recopilaron. Los datos personales tratados en el contexto de un contrato pueden retenerse durante la vigencia del contrato o durante un tiempo razonable después del vencimiento del contrato si es necesario para determinar y resolver las reclamaciones relacionadas o como exija la ley.
Otra información: véase en el Anexo 3 una lista actualizada de los Subencargados del tratamiento. Las partes acuerdan seguir el proceso de identificación de nuevos Subencargados del tratamiento especificado en la sección 4.8 del DPA. Este proceso está diseñado para cumplir e implementar los requisitos de las cláusulas 3.1 y 18 de las Cláusulas contractuales tipo brasileñas.
iv. En las cláusulas 4.1-4.2, se aplica la opción A. La cláusula 4.1 se completa como sigue:

4.1. Sin perjuicio del deber de asistencia mutua y de las obligaciones generales de las Partes, la Parte designada indicada a continuación será la principal responsable del cumplimiento de las siguientes obligaciones establecidas en estas Cláusulas:

a) Responsable de publicar el documento indicado en la cláusula 14:

b) Responsable de responder a las solicitudes de los Interesados tratadas en la cláusula 15:

c) Responsable de notificar el incidente de seguridad indicado en la cláusula 16:
v. La sección III se completa como sigue: véanse las correspondientes TOM en el Trust Center.
vi. La sección IV se completa como sigue: las partes acuerdan que las disposiciones de limitación de responsabilidad establecidas en el Acuerdo controlarán la respectiva responsabilidad de una parte con otra en virtud de la cláusula 17 de estas Cláusulas contractuales tipo brasileñas.
b. Cuando el Cliente es un Encargado del tratamiento y GoTo es un Subencargado del tratamiento
i. La cláusula 1.1 se completa como sigue:
Exportador (Encargado del tratamiento)
Nombre: véanse el Acuerdo o el Formulario de pedido
Cualificación: véanse el Acuerdo o el Formulario de pedido
Dirección principal: véanse el Acuerdo o el Formulario de pedido
Dirección de correo electrónico: véanse el Acuerdo o el Formulario de pedido
Contacto para el Interesado: véanse el Acuerdo o el Formulario de pedido
Otra información: no aplicable
E
Importador (Encargado del tratamiento)
Nombre: GoTo Technologies USA LLC, en su nombre y en el de las correspondientes Filiales
Cualificación: 5984112 (DE)
Dirección principal: 333 Summer Street, 5th Floor, Boston, MA 02210, Estados Unidos
Dirección de correo electrónico: privacy@goto.com
Contacto para el Interesado: no aplicable
Otra información: no aplicable
Nombre: véanse el Acuerdo o el Formulario de pedido
ii. La cláusula 2.1 se completa como sigue:
Propósito de la Transferencia de datos: permitir que GoTo preste Servicios al Cliente en virtud del Acuerdo.
Categorías de Datos personales transferidos: véase el Anexo 1 (Descripción del Tratamiento)
Periodo de almacenamiento de datos: véanse las TOM correspondientes en el Trust Center
Otra información: no aplicable
iii. En la cláusula 3.1 se incluye la opción B y se completa como sigue:
Propósitos principales de la transferencia internacional de datos: véase la sección 2.1.2 del DPA.
Categorías de Datos personales transferidos: véase el Anexo 1 (Detalles del Tratamiento)
Periodo de retención de los datos: el periodo de retención de los datos puede variar en función del propósito específico, pero no será más del tiempo necesario para los propósitos empresariales con los que se recopilaron. Los datos personales tratados en el contexto de un contrato pueden retenerse durante la vigencia del contrato o durante un tiempo razonable después del vencimiento del contrato si es necesario para determinar y resolver las reclamaciones relacionadas o como exija la ley.
Otra información: véase en el Anexo 3 una lista actualizada de los Subencargados del tratamiento. Las partes acuerdan seguir el proceso de identificación de nuevos Subencargados del tratamiento especificado en la sección 4.8 del DPA. Este proceso está diseñado para cumplir e implementar los requisitos de las cláusulas 3.1 y 18 de las Cláusulas contractuales tipo brasileñas.
iv. En las cláusulas 4.1-4.8, se incluye la opción B. La cláusula 4.1 se completa como sigue:
4.1 Considerando que ambas Partes actúan exclusivamente como Encargados del tratamiento en el ámbito de la Transferencia internacional de datos regida por estas Cláusulas, el Exportador declara y garantiza que la transferencia se realiza con la autorización del Responsable del tratamiento externo y de conformidad con sus instrucciones escritas
Identificación del Responsable del tratamiento externo: véase la información de contacto contenida en las interacciones del Cliente con sus clientes.

Nombre:
Dirección:
Dirección de correo electrónico:
Representante legal:
Contacto para el Interesado:
Propósito de la transferencia de datos:
Condiciones para la transferencia:
Otra información:
Información sobre el contrato relacionado:
v. La sección III se completa como sigue: véanse las correspondientes TOM en el Trust Center.
vi. La sección IV se completa como sigue:
a. Las partes acuerdan que las disposiciones de limitación de responsabilidad establecidas en el Acuerdo controlarán la respectiva responsabilidad de una parte con otra en virtud de la cláusula 17 de estas Cláusulas contractuales tipo brasileñas.
b. Al firmar el Acuerdo, el Exportador garantiza que se le ha proporcionado la autorización necesaria para aceptar estas Cláusulas contractuales tipo brasileñas en nombre del Responsable del tratamiento externo. El Exportador aceptará todos los documentos y tomará todas las medidas razonables solicitadas por GoTo para demostrar el cumplimiento de esta disposición.
c. Cuando el Cliente y GoTo son Responsables del tratamiento independientes
i. La cláusula 1.1 se completará como sigue:
Exportador (Responsable del tratamiento)
Nombre: véanse el Acuerdo o el Formulario de pedido
Cualificación: véanse el Acuerdo o el Formulario de pedido
Dirección principal: véanse el Acuerdo o el Formulario de pedido
Dirección de correo electrónico: véanse el Acuerdo o el Formulario de pedido
Contacto para el Interesado: véanse el Acuerdo o el Formulario de pedido
Otra información: no aplicable
E
Importador (Responsable del tratamiento)
Nombre: GoTo Technologies USA LLC, en su nombre y en el de las correspondientes Filiales
Cualificación: 5984112 (DE)
Dirección principal: 333 Summer Street, 5th Floor, Boston, MA 02210, Estados Unidos
Dirección de correo electrónico: privacy@goto.com
Contacto para el Interesado: privacy@goto.com
Otra información: GoTo trata Datos personales de los que es Responsable del tratamiento de acuerdo con su política de privacidad, disponible en https://www.goto.com/company/legal/privacy
ii. La cláusula 2.1 se completa como sigue:
Propósito de la Transferencia de datos: véase la sección 2.1.2 del DPA.
Categorías de Datos personales transferidos: véase el Anexo 1 (Detalles del Tratamiento)
Periodo de almacenamiento de datos: véanse las TOM correspondientes en el Trust Center
Otra información: no aplicable
iii. En la cláusula 3.1 se incluye la opción B y se completa como sigue:
Propósitos principales de la transferencia internacional de datos: véase la sección 2.1.2 del DPA.
Categorías de Datos personales transferidos: véase el Anexo 1 (Detalles del Tratamiento)
Periodo de retención de los datos: el periodo de retención de los datos puede variar en función del propósito específico, pero no será más del tiempo necesario para los propósitos empresariales con los que se recopilaron o del tiempo necesario para cumplir nuestras obligaciones legales, resolver disputas y hacer cumplir nuestros acuerdos. Los datos personales tratados en el contexto de un contrato pueden retenerse durante la vigencia del contrato o durante un tiempo razonable después del vencimiento del contrato si es necesario para determinar y resolver las reclamaciones relacionadas o como exija la ley. Si el Tratamiento de Datos personales se basa en intereses legítimos o cumplimiento de obligaciones legales, dichos Datos personales se eliminarán en cuanto haya vencido el correspondiente propósito subyacente.
Otra información: no aplicable
iv. En las cláusulas 4.1-4.2, se aplica la opción A. La cláusula 4.1 se completa como sigue:

4.1. Sin perjuicio del deber de asistencia mutua y de las obligaciones generales de las Partes, la Parte designada indicada a continuación será la principal responsable del cumplimiento de las siguientes obligaciones establecidas en estas Cláusulas

a) Responsable de publicar el documento indicado en la cláusula 14:

b) Responsable de responder a las solicitudes de los Interesados tratadas en la cláusula 15:

c) Responsable de notificar el incidente de seguridad indicado en la cláusula 16:
v. Las partes completarán la sección III como sigue: véanse las correspondientes TOM en el Trust Center.
vi. Las partes completarán la sección IV como sigue: las partes acuerdan que las disposiciones de limitación de responsabilidad establecidas en el Acuerdo controlarán la respectiva responsabilidad de una parte con otra en virtud de la cláusula 17 de estas Cláusulas contractuales tipo brasileñas.
d. SCC de la UE. Después de la Fecha de entrada en vigor, si la ANPD aprueba el uso de las SCC de la UE como mecanismo de transferencia para Transferencias restringidas a las que se les aplica la LGPD, las SCC brasileñas se eliminarán en su totalidad y se aplicarán las SCC de la UE, estructuradas como se especifica en la parte B con las siguientes modificaciones: (a) todas las referencias a "Reglamento (UE) 2016/679" en las Cláusulas contractuales tipo de la UE se interpretarán como referencia a la LGPD; (b) todas las referencias a "UE", "Unión" y "Estado miembro" se interpretarán como referencias a Brasil; y (c) todas las referencias a "autoridad supervisora competente" y "tribunales competentes" se interpretarán como referencias a la ANPD y los "tribunales brasileños competentes", respectivamente.
B. TRANSFERENCIAS TRANSFRONTERIZAS DE DATOS DEL RGPD
1. Alcance de la sección. Los términos y condiciones contenidos en este Anexo 2, parte B se aplican únicamente si a los Datos personales tratados en virtud de este Acuerdo por GoTo se les aplica el RGPD
2. Cumplimiento del RGPD. Cada parte realizará sus actividades de Tratamiento de conformidad con los requisitos del RGPD que se le apliquen.
3. Marco de Privacidad de Datos UE-EE. UU. Determinadas entidades de GoTo han certificado su cumplimiento del Marco de Privacidad de Datos UE-EE. UU. Las Transferencias transfronterizas de datos de la UE a los Estados Unidos de América que están cubiertas por el alcance de la certificación de GoTo se realizan de conformidad con dicho Marco.
4. Cláusulas contractuales tipo de la UE. Si (a) a las Transferencias transfronterizas de datos realizadas hacia o desde la UE no se les aplica el Marco de Privacidad de Datos UE-EE. UU. y constituyen de otro modo una Transferencia restringida, o (b) las Transferencias transfronterizas de datos hacia Estados Unidos cubiertas por el Marco de Privacidad de Datos UE-EE. UU. se convierten en Transferencias restringidas debido a que (i) el Marco de Privacidad de Datos UE-EE. UU. se invalida posteriormente, o (ii) la participación de GoTo en el Marco de Privacidad de Datos UE-EE. UU. cesa por cualquier motivo, las SCC de la UE se aplicarán a la correspondiente Transferencia transfronteriza de datos. Las SCC de la UE se incorporan por referencia a este DPA y se estructurarán como sigue:
a. Cuando el Cliente es el Responsable del tratamiento de los Datos personales y GoTo es un Encargado del tratamiento:
i. Se aplica el Módulo 2 (De Responsable del tratamiento a Encargado del tratamiento) y se eliminan en su totalidad los Módulos 1, 3 y 4.
ii. Se incluye la cláusula 7, siempre que, con respecto al Cliente, la entidad que accede a las SCC sea una Filial autorizada.
iii. Se aplica la cláusula 9, opción 2 (y las Partes utilizarán el proceso detallado en la sección 4.8 del DPA para cumplir la obligación de GoTo de proporcionar al Cliente la información necesaria para permitirle ejercer su derecho de oposición).
iv. En la cláusula 11 se incluye la resolución de disputas independiente opcional. El organismo que GoTo pone a disposición de los Interesados sin coste alguno es TrustArc, empresa de privacidad externa. Véase https://feedback-form.truste.com/watchdog/request.
v. Se aplica la cláusula 17, opción 1. Las SCC de la UE se rigen por la legislación irlandesa.
vi. En la cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda.
vii. Los Anexos de las SCC de la UE se rellenarán con la información establecida en el Anexo 2-1, incorporado por referencia al presente documento.
b. Cuando el Cliente es un Encargado del tratamiento de Datos personales y GoTo es un Subencargado del tratamiento:
i. Se aplica el Módulo 3 (de Encargado del tratamiento a Subencargado del tratamiento) y se eliminan en su totalidad los Módulos 1, 2 y 4.
ii. Se incluye la cláusula 7, siempre que, con respecto al Cliente, la entidad que accede a las SCC de la UE sea una Filial autorizada.
iii. Se aplica la cláusula 9, opción 2 (como se detalla en la sección 5 de este DPA).
iv. En la cláusula 11 se incluye el organismo de resolución de disputas independiente opcional. El organismo que GoTo pone a disposición de los Interesados sin coste alguno es TrustArc, empresa de privacidad externa. Véase https://feedback-form.truste.com/watchdog/request.
v. Se aplicará la cláusula 17, opción 1, y las Cláusulas contractuales tipo se regirán por la legislación irlandesa.
vi. (vi) en la cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda.
vii. (vii) los Anexos de las SCC de la UE se rellenarán con la información establecida en el Anexo 2-1, incorporado por referencia al presente documento.
c. Cuando el Cliente y GoTo son Responsables del tratamiento independientes de los Datos personales:
i. Se aplica el Módulo 1 (de Responsable del tratamiento a Responsable del tratamiento) y se eliminan en su totalidad los Módulos 2, 3 y 4.
ii. Se incluye la cláusula 7, siempre que, con respecto al Cliente, la entidad que accede a las SCC de la UE sea una Filial o una Filial autorizada aprobada por GoTo.
iii. Se incluye la cláusula 11. El organismo de resolución de disputas independiente opcional que GoTo pone a disposición de los Interesados sin coste alguno es TrustArc, empresa de privacidad externa. Véase https://feedback-form.truste.com/watchdog/request.
iv. Se aplica la cláusula 17, opción 1. Las SCC de la UE se regirán por la legislación irlandesa.
v. En la cláusula 18(b), las disputas se resolverán ante los tribunales de Irlanda.
vi. Los Anexos de las SCC de la UE se rellenarán con la información establecida en el Anexo 2-1, incorporado por referencia al presente documento.
C. TRANSFERENCIAS TRANSFRONTERIZAS DE DATOS DEL REINO UNIDO
1. Alcance de la sección. Los términos y condiciones contenidos en este Anexo 2, parte C se aplican únicamente si a los Datos personales tratados en virtud de este Acuerdo por GoTo se les aplica la Ley de Protección de Datos del Reino Unido.
2. Cumplimiento de la Ley de Protección de Datos del Reino Unido. Cada parte realizará sus actividades de Tratamiento de conformidad con los requisitos de la Ley de Protección de Datos del Reino Unido que se les apliquen.
3. Extensión del Reino Unido al Marco de Privacidad de datos UE-EE. UU. Determinadas entidades de GoTo han certificado su cumplimiento de la Extensión del Reino Unido al Marco de Privacidad de Datos UE-EE. UU. Las Transferencias transfronterizas de datos desde el Reino Unido a los Estados Unidos de América que están cubiertas por el alcance de la certificación de GoTo se realizan de conformidad con dicho Marco.
4. Anexo del Reino Unido. Si (a) a las Transferencias transfronterizas de datos realizadas hacia o desde el Reino Unido no se les aplica la Extensión del Reino Unido al Marco de Privacidad de Datos UE-EE. UU. y constituyen de otro modo una Transferencia restringida, o (b) las Transferencias transfronterizas de datos hacia Estados Unidos cubiertas por la Extensión del Reino Unido al Marco de Privacidad de Datos de la UE se convierten en Transferencias restringidas debido a que (i) la Extensión del Reino Unido al Marco de Privacidad de Datos de UE-EE. UU. se invalida posteriormente, o (ii) la participación de GoTo en la Extensión del Reino Unido al Marco de Privacidad de Datos de UE-EE. UU. cesa por cualquier motivo, el Anexo del Reino Unido se aplicará a la correspondiente Transferencia transfronteriza de datos. El Anexo del Reino Unido se incorpora por referencia a este DPA y las tablas se completan como se establece en el Anexo 2-2.
D. TRANSFERENCIAS TRANSFRONTERIZAS DE DATOS SUIZAS
1. Alcance de la sección. Los términos y condiciones contenidos en este Anexo 2, parte D se aplican únicamente si a los Datos personales tratados en virtud de este Acuerdo por GoTo se les aplica la FADP suiza.
2. Cumplimiento de la FADP suiza. Cada parte realizará sus actividades de Tratamiento de conformidad con los requisitos de la FADP suiza que se le apliquen.
3. Marco de Privacidad de Datos Suiza-EE. UU. Determinadas entidades de GoTo han certificado su cumplimiento del Marco de Privacidad de Datos Suiza-EE. UU. Las Transferencias transfronterizas de datos de Suiza a los Estados Unidos de América que están cubiertas por el alcance de la certificación de GoTo se realizan de conformidad con dicho marco.
4. SCC de la UE. Si (a) a las Transferencias transfronterizas de datos realizadas hacia o desde Suiza no se les aplica el Marco de Privacidad de Datos Suiza-EE. UU. y constituyen una Transferencia restringida, o (b) las transferencias hacia Estados Unidos cubiertas por el Marco de Privacidad de Datos Suiza-EE. UU. se convierten en Transferencias restringidas debido a que (i) el Marco de Privacidad de Datos Suiza-EE. UU. se invalida posteriormente, o (ii) la participación de GoTo en el Marco de Privacidad de Datos Suiza-EE. UU. cesa por cualquier motivo, las Cláusulas contractuales tipo de la UE completadas como parte de este DPA se aplicarán a la correspondiente Transferencia transfronteriza de datos. Las Cláusulas contractuales tipo de la UE se estructurarán como se especifica en la parte B con las siguientes modificaciones: (a) todas las referencias a "Reglamento (UE) 2016/679" en las Cláusulas contractuales tipo de la UE se interpretarán como referencia a la FADP suiza; (b) todas las referencias a "UE", "Unión" y "Estado miembro" se interpretarán como referencia a Suiza; y (c) todas las referencias a "autoridad supervisora competente" y "tribunales competentes" se interpretarán como referencias a "Comisión federal para la protección de datos y la información suiza" y "tribunales suizos competentes", respectivamente.

 

ANEXO 2-1: APÉNDICES A LAS SCC DE LA UE

ANEXO I (MÓDULOS 1, 2 Y 3)


A. LISTA DE PARTES
Exportadores de datos:
1. Nombre: véase el nombre legal del Cliente especificado en el Acuerdo o el Formulario de pedido.
Dirección: véase la dirección del Cliente especificada en el Acuerdo o el Formulario de pedido.
Detalles de contacto: contacto principal, puesto y detalles del Cliente, identificados en la documentación o el Formulario de pedido correspondientes, según corresponda.
Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas: el Exportador de datos requiere los Servicios del Importador de datos en los campos de comunicaciones unificadas y colaboración, interacciones con clientes y soluciones de asistencia en la nube.
Firma y fecha: las SCC de la UE, incluidos los Anexos, se consideran firmadas por la firma del Exportador de datos del Acuerdo o el Formulario de pedido, según proceda. La fecha de la firma se considera la Fecha de entrada en vigor
Función: la función del Exportador de datos es la establecida en la sección 2 (Relación de las Partes) del DPA.

Importadores de datos:
1. Nombre: GoTo Technologies USA LLC, en su nombre y en el de la correspondiente Filial de GoTo
Dirección: c/o/ Legal Department, 333 Summer Street, 5th Floor, Boston, MA 02210, Estados Unidos
Detalles de contacto: privacy@goto.com.
Actividades relacionadas con los datos transferidos en virtud de estas Cláusulas: GoTo proporciona una cartera de comunicaciones unificadas y colaboración, interacciones con clientes y soluciones de asistencia en la nube. Las actividades relacionadas con el Tratamiento de Datos personales realizado por GoTo como Encargado del tratamiento o el objetivo y el asunto de dicho Tratamiento tienen como propósito servir al Cliente y proporcionar, permitir y organizar la prestación de los Servicios.
Firma y fecha: las SCC de la UE, incluidos los Anexos, se consideran firmadas por la firma del Importador de datos del Acuerdo o el Formulario de pedido, según proceda. La fecha de la firma se considera la Fecha de entrada en vigor.
Función: la función del Importador de datos es la establecida en la sección 2 (Relación de las Partes) del DPA.

B. DESCRIPCIÓN DE TRANSFERENCIA
Categorías de interesados cuyos datos personales se transfieren: véanse las TOM.
Categorías de datos personales transferidos: véanse las correspondientes TOM en el Trust Center.
Datos confidenciales: véanse las correspondientes TOM en el Trust Center.
La frecuencia de la transferencia: continua durante la vigencia del Acuerdo hasta el vencimiento del periodo de retención.
Naturaleza del tratamiento: véanse las correspondientes TOM en el Trust Center.
Propósitos de la transferencia de datos y el tratamiento posterior: véanse las correspondientes TOM en el Trust Center.
El periodo durante el que se retendrán los datos personales: véanse las correspondientes TOM en el Trust Center.
En el caso de transferencias a (sub)encargados del tratamiento, la materia, la naturaleza y la duración del tratamiento se establecen en la Lista de Subencargados del tratamiento (véanse la sección 4.8 y las correspondientes
Revelaciones por parte de Subencargados del tratamiento en el Trust Center).

C. AUTORIDAD SUPERVISORA COMPETENTE (MÓDULOS 1, 2 Y 3)
Identifique a las autoridades supervisoras competentes: el Comisionado de Información de la República de Irlanda es la Autoridad supervisora competente.

ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS (MÓDULOS 1, 2 Y 3)
Consulte las correspondientes TOM en el Trust Center. El importador de datos puede actualizar su documento de seguridad, siempre que no se degraden la seguridad ni la privacidad de los servicios.

ANEXO III: LISTA DE SUBENCARGADOS DEL TRATAMIENTO (MÓDULOS 2 Y 3)
Consulte las correspondientes Revelaciones por parte de Subencargados del tratamiento en el Trust Center.

 

ANEXO 2-2: Anexo del Reino Unido

Tabla 1

Fecha de inicio La Fecha de entrada en vigor
Las Partes Exportador (quien envía la Transferencia restringida) Importador (quien recibe la Transferencia restringida)

Detalles de las Partes

 




Contacto clave

Nombre legal completo: véanse el Acuerdo o el Formulario de pedido
Nombre comercial si es diferente
Dirección principal: véanse el Acuerdo o el Formulario de pedido
N.º de registro oficial:


Nombre completo (opcional): no aplicable
Cargo: véanse el Acuerdo o el Formulario de pedido
Detalles de contacto, incluido correo electrónico: véanse el Acuerdo o el Formulario de pedido 		Nombre legal completo: GoTo Technologies USA, LLC en su nombre propio y en el de las correspondientes Filiales
Nombre comercial si es diferente: no aplicable
Dirección principal: 333 Summer Street, 5th Floor, Boston, MA 02210, Estados Unidos
N.º de registro oficial: 5984112 (DE)
Nombre completo (opcional): no aplicable
Cargo: equipo de privacidad
Detalles de contacto, incluido correo electrónico: privacy@goto.com
Firma (si es necesaria a efectos de la sección 2) La firma o aceptación del Cliente y GoTo del Acuerdo o cualquier Formulario de pedido constituye la firma y aceptación del Anexo del Reino Unido. La firma o aceptación del Cliente y GoTo del Acuerdo o cualquier Formulario de pedido constituye la firma y aceptación del Anexo del Reino Unido.

Tabla 2: SCC seleccionadas, Módulos y cláusulas seleccionadas

SCC de la UE del Anexo
Módulo Módulo en vigor Cláusula 7 (Cláusula de acoplamiento) Cláusula 11 (Opción) Cláusula 9a (Autorización previa o autorización general Cláusula 9(a) Periodo de tiempo ¿Se combinan los datos personales recibidos del Importador con los datos personales recopilados por el Exportador?
1 Sí, el organismo de resolución de disputas independiente opcional que GoTo pone a disposición de los Interesados sin coste alguno es TrustArc, empresa de privacidad externa. Véase https://feedback-form.truste.com/watchdog/request      
2 Sí, el organismo de resolución de disputas independiente opcional que GoTo pone a disposición de los Interesados sin coste alguno es TrustArc, empresa de privacidad externa. Véase https://feedback-form.truste.com/watchdog/request Generalidades Véase DPA, sección 8.2  
3 Sí, el organismo de resolución de disputas independiente opcional que GoTo pone a disposición de los Interesados sin coste alguno es TrustArc, empresa de privacidad externa. Véase https://feedback-form.truste.com/watchdog/request Generalidades Véase DPA, sección 8.2  
4 No No aplicable No aplicable     No aplicable

Tabla 3: Información del apéndice
"Información del apéndice" significa la información que debe proporcionarse para los módulos seleccionados según lo establecido en el Apéndice de las SCC de la UE aprobadas (distintas de las Partes), y que, para este Apéndice, se establece en:

Anexo 1A: Lista de Partes: Véase más arriba
Anexo 1B: Descripción de transferencia: Véase Anexo 1 del DPA
Anexo II: Medidas técnicas y organizativas, incluidas medidas técnicas y organizativas para garantizar la seguridad de los datos: Véanse las correspondientes TOM en el Trust Center
Anexo III: Lista de Subencargados del tratamiento (solo Módulos 2 y 3): Véanse las correspondientes Revelaciones por parte de Subencargados del tratamiento en el Trust Center

Tabla 4: Rescisión de este Anexo cuando cambie el Anexo aprobado

Rescisión de este Anexo cuando cambie el Anexo aprobado Qué Partes pueden rescindir este Anexo según lo establecido en la sección 19: