Acuerdo de tratamiento de datos de LinkedIn

12 de diciembre de 2022

Índice

  • Acuerdo de tratamiento de datos (ATD) de LinkedIn
  • Apéndice A: Descripción de la transferencia
  • Apéndice B: Anexo de la CCPA
  • Apéndice C: Términos específicos de Glint y sus modificaciones
  • Apéndice D: Medidas técnicas y organizativas, incluidas las medidas técnicas y organizativas para garantizar la seguridad de los datos

Este Acuerdo de tratamiento de datos (en adelante, el «ATD»), celebrado entre el cliente de LinkedIn, identificado en el documento de solicitud de esta empresa para la obtención de sus servicios (en adelante, el «Cliente»), y la empresa LinkedIn, igualmente identificada en el documento de solicitud (en lo sucesivo y junto con sus entidades afiliadas, «LinkedIn»), rige el tratamiento de los Datos personales que el Cliente carga o, de otro modo, proporciona a LinkedIn en relación con su uso de los servicios que dicha empresa provee; el tratamiento que LinkedIn hace de los Datos personales en nombre del Cliente y en relación con los servicios, y el tratamiento de cualesquiera Datos personales que LinkedIn carga o, de otro modo, proporciona al Cliente y que guardan relación con dichos servicios. Los términos específicos de los servicios de Glint de LinkedIn se incluyen en el Apéndice C de este mismo ATD.

Este ATD está incorporado en el correspondiente acuerdo de servicios de LinkedIn unido o incorporado por referencia en el documento de solicitud previamente ejecutado por el Cliente, contemplado genéricamente en este ATD como el «Contrato de LinkedIn». De manera colectiva, el ATD (incluidas las Cláusulas contractuales tipo, tal como se definen a continuación), el Contrato de LinkedIn y los correspondientes documentos de solicitud se denominan en este ATD como el «Acuerdo». En caso de cualquier conflicto o discrepancia entre cualquiera de los términos del Acuerdo, prevalecerán las disposiciones de los siguientes documentos (en orden de prioridad): (a) las Cláusulas contractuales tipo; (b) el documento de solicitud correspondiente al Contrato de LinkedIn; (c) este ATD; (d) el Contrato de LinkedIn. Salvo lo específicamente modificado en este ATD, el Contrato de LinkedIn y el documento de solicitud aplicable permanecerán inalterados y en pleno vigor y efecto.

1. DEFINICIONES

«CCPA» hace referencia a la Ley de Privacidad del Consumidor de California de 2018, modificada por la Ley de Derechos de Privacidad de California de 2020, junto con cualquier legislación subordinada o normativa interna.

«Datos personales del cliente» hace referencia a los Datos personales que el Cliente carga o, de otro modo, proporciona a LinkedIn en relación con su uso de los servicios de LinkedIn.

«Requisitos de protección de datos» hace referencia al Reglamento General de Protección de Datos, así como a cualesquiera otros reglamentos, leyes y requisitos legales que resulten de aplicación y que guarden relación con (a) la privacidad, la seguridad de los datos y la protección de los Datos personales, y (b) el tratamiento de cualesquiera Datos personales. Los Requisitos de protección de datos pueden incluir, sin ánimo exhaustivo, el RGPD del Reino Unido, la Ley Federal Suiza de Protección de Datos de 2020, la Lei Geral de Proteção de Dados (Ley General de Protección de Datos de Brasil), la CCPA, la Ley de Privacidad de Colorado, la Ley de Privacidad de Datos de Connecticut, la Ley de Privacidad de los Consumidores de Utah y la Ley de Protección de Datos de los Consumidores de Virginia.

«Datos personales procedentes de la UE» hace referencia a los Datos personales cuyo intercambio, en virtud de este Acuerdo, está regulado por el Reglamento General de Protección de Datos.

«Reglamento General de Protección de Datos» o «RGPD» hace referencia al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, junto con cualquier legislación subordinada o normativa interna que incluya precisiones o desarrollos en materias relacionadas con el Reglamento General de Protección de Datos.

«Datos personales» hace referencia a la información acerca de una persona, que (a) puede emplearse para identificar, contactar o localizar a una persona en concreto; (b) puede combinarse con otra información que puede usarse para identificar o localizar a una persona en concreto o para ponerse en contacto con ella; o (c) queda definida como «datos personales» o «información personal» de acuerdo con las leyes o normas aplicables relativas a la recopilación, el uso, el almacenamiento y la divulgación de información sobre una persona que pueda ser identificada.

«Violación de la seguridad de los datos personales» hace referencia a cualquier destrucción, pérdida, modificación, divulgación no autorizada o el acceso accidental o ilícito a los Datos personales del cliente.

«Tratamiento» y sus análogos hacen referencia a cualquier operación o conjunto de operaciones que se realizan en los Datos personales o en los conjuntos de Datos personales, sea o no por medios automatizados, tales como la recopilación, la grabación, la organización, la estructuración, el almacenamiento, la adaptación o modificación, la recuperación, la consulta, el uso, la divulgación mediante transmisión, la difusión o puesta a disposición, la alineación o combinación, la restricción, la supresión o la destrucción.   

«Cláusulas contractuales tipo» se refiere a las Cláusulas Contractuales Tipo de la Comisión Europea suscritas entre las partes en el marco del Acuerdo.

«Subencargado del tratamiento» hace referencia a cualquier entidad que proporciona servicios de tratamiento a LinkedIn en cumplimiento del tratamiento que LinkedIn lleva a cabo de los Datos personales del cliente.

«Autoridad de control» hace referencia a una autoridad pública independiente que (i) un Estado miembro de la Unión Europea haya establecido de conformidad con el artículo 51 del Reglamento General de Protección de Datos; o que (ii) sea la autoridad pública encargada de la protección de datos, contando con la autoridad en materia de control, así como gozando de jurisdicción en lo que al Cliente respecta.

La expresión «RGPD del Reino Unido» hace referencia al Reglamento General de Protección de Datos del Reino Unido, modificado por la Ley de Protección de Datos de 2018.

La expresión «Datos personales procedentes de Reino Unido» hace referencia a los Datos personales cuyo intercambio, en virtud de este Acuerdo, está regulado por el Reglamento General de Protección de Datos del Reino Unido.

2. NATURALEZA DEL TRATAMIENTO DE DATOS

Cada parte se compromete a tratar los Datos personales recibidos en virtud del Acuerdo solo para los propósitos establecidos en este. Para evitar dudas, las categorías de los Datos personales tratados y las categorías de los interesados sujetos a este Acuerdo de tratamiento de datos se describen en el Apéndice A del presente Acuerdo de tratamiento de datos.

3. CUMPLIMIENTO DE LA LEY

Las partes deberán cumplir sus respectivas obligaciones, de conformidad con todos los Requisitos de protección de datos aplicables.

4. OBLIGACIONES DEL CLIENTE

4.1   El Cliente acepta: (i) delimitar los usos y medios generales del Tratamiento de los Datos personales del cliente por parte de LinkedIn acorde con el Acuerdo; y (ii) cumplir con las obligaciones de protección, seguridad y otras obligaciones relacionadas con los Datos personales del cliente prescritas por los Criterios de protección de datos para los responsables del tratamiento.  

4.2   El Cliente acepta, a petición de LinkedIn, designar un único punto de contacto para la empresa (el «Administrador principal») que será responsable de (i) recibir y responder las solicitudes que reciba LinkedIn de parte de los interesados del Cliente en relación con los Datos personales de este; y (ii) notificar a LinkedIn la respuesta del Cliente prevista para dichas solicitudes en relación con el acceso o la rectificación, el borrado, la restricción, la portabilidad, el bloqueo o la eliminación de los Datos personales del cliente que LinkedIn trata en su nombre y autorizar a LinkedIn a actuar conforme a dichas respuestas, igualmente en nombre del Cliente.

5. OBLIGACIONES DE LINKEDIN

5.1 Requisitos de tratamiento. LinkedIn:

a. Tratará los Datos personales del cliente (i) únicamente con el fin de proporcionar, apoyar y mejorar los servicios de LinkedIn (como proporcionar información y otros informes), mediante el uso de medidas de seguridad técnicas y organizativas adecuadas; y (ii) de conformidad con las instrucciones recibidas del Cliente. LinkedIn no utilizará ni tratará los Datos personales del cliente para ningún otro fin. LinkedIn informará inmediatamente al Cliente por escrito en el caso de que no pueda cumplir con los requisitos en virtud de las Secciones 5 a 8 del presente ATD, en cuyo caso el Cliente podrá rescindir el Acuerdo o tomar cualquier otra medida razonable, como la suspensión de las actividades de tratamiento de datos;

b. Informará al Cliente inmediatamente si, en opinión de LinkedIn, una instrucción del Cliente incumple los Requisitos de protección de datos aplicables;

c. Si LinkedIn recopila Datos personales del cliente de personas en nombre del Cliente, seguirá las instrucciones del Cliente con respecto a dicha recopilación de Datos personales del cliente (incluso en lo relativo a la disposición de notificación y el ejercicio del derecho de elección);

d. Tomará las medidas para asegurarse de que (i) las personas empleadas por LinkedIn y (ii) otras personas que se dedican a realizar tareas en nombre de LinkedIn cumplen los términos del Acuerdo;

e. Se asegurará de que sus empleados, agentes autorizados y cualquier Subencargado del tratamiento estén obligados a reconocer y respetar la confidencialidad de los Datos personales del cliente, incluso después de la finalización de sus respectivos empleos, contratos o asignaciones;

f. Si tiene la intención de contratar Subencargados del tratamiento para ayudarlo a cumplir sus obligaciones de conformidad con este ATD o de delegar todas o parte de las actividades de tratamiento en dichos Subencargados del tratamiento, (i) a excepción de la lista de Subencargados del tratamiento que LinkedIn y sus Entidades afiliadas mantienen en línea (actualmente disponible en https://legal.linkedin.com/customer-subprocessors), cuyo uso aprueba el Cliente, recabará el consentimiento previo por escrito del Cliente para dicho subtratamiento, y dicho consentimiento no podrá denegarse sin motivos justificados; (ii) seguirá siendo responsable ante el Cliente por los actos y omisiones de los Subencargados del tratamiento con respecto a la protección de datos cuando dichos Subencargados del tratamiento actúen según las instrucciones de LinkedIn; y (iii) concertará acuerdos contractuales con dichos Subencargados del tratamiento por los que estarán obligados a proporcionar el mismo nivel de protección de datos y seguridad de la información que el que se ofrece en este documento; y

g. Previa solicitud, facilitará al Cliente una correspondencia de las políticas de seguridad de LinkedIn relacionadas con los controles establecidos por la norma 27001 de la Organización Internacional de Normalización (ISO, por sus siglas en inglés)/la Comisión Electrotécnica Internacional (IEC, por sus siglas en inglés).  

5.2 Notificación al Cliente. LinkedIn informará al Cliente si LinkedIn tiene conocimiento de:

a. Cualquier incumplimiento por parte de LinkedIn o de sus empleados de las Secciones 5-8 de este ATD o de los Requisitos de protección de datos relativos a la protección de Datos personales del cliente tratados en virtud de este ATD;

b. Cualquier solicitud jurídicamente vinculante de divulgación de Datos personales del cliente por parte de una autoridad encargada del cumplimiento de la ley, salvo que la ley prohíba a LinkedIn informar al Cliente, por ejemplo, para preservar la confidencialidad de una investigación por parte de las autoridades encargadas del cumplimiento de la ley;

c. Cualquier notificación, consulta o investigación por parte de una Autoridad de control con respecto a los Datos personales del cliente; o

d. Cualquier queja o solicitud (en particular, las solicitudes de acceso, rectificación, borrado, restricción, portabilidad, bloqueo o eliminación de los Datos personales del cliente) recibidas directamente de los interesados del Cliente. LinkedIn no responderá sustancialmente a ninguna solicitud de este tipo sin la autorización previa por escrito del Cliente.

5.3 Asistencia al Cliente. LinkedIn proporcionará asistencia razonable al Cliente con respecto a:

a. Cualquier solicitud de los interesados del Cliente en relación con el acceso a los Datos personales del cliente que LinkedIn trata para el Cliente o su rectificación, supresión, restricción, portabilidad, bloqueo o eliminación. En el caso de que un interesado envíe dicha solicitud directamente a LinkedIn, LinkedIn enviará sin demora la solicitud al Cliente;

b. La investigación de las Violaciones de la seguridad de los datos personales y la notificación a la Autoridad de control y a los interesados del Cliente con respecto a dichas Violaciones de la seguridad de los datos personales; y

c. Cuando proceda, la elaboración de evaluaciones de impacto de la protección de datos y, en caso necesario, la realización de consultas a cualquier Autoridad de control.

5.4 Tratamiento requerido. Si los Requisitos de protección de datos exigen a LinkedIn el tratamiento de los Datos personales del cliente por una razón distinta de la prestación de los servicios descritos en el Acuerdo, LinkedIn informará al Cliente de este requisito antes de cualquier tratamiento, a menos que se prohíba legalmente a LinkedIn informar al Cliente de dicho tratamiento (por ejemplo, como resultado de la obligación de guardar secreto que pueda existir según la legislación del Estado miembro de la UE aplicable).

5.5 Seguridad. LinkedIn:

a. Mantendrá las medidas organizativas y de seguridad técnica adecuadas (incluso con respecto al personal, las instalaciones, el hardware y el software, el almacenamiento y las redes, los controles de acceso, la supervisión y el registro, la detección de vulnerabilidades e infracciones, la respuesta a incidentes, el cifrado de los Datos personales del cliente mientras están en tránsito y en reposo) diseñadas para proteger contra el acceso no autorizado o accidental, la pérdida, la modificación, la divulgación o la destrucción de los Datos personales del cliente, incluidas las medidas de seguridad establecidas en el Apéndice D al presente ATD, que se aplicarán como Anexo II de las Cláusulas contractuales tipo;

b. Será responsable de la suficiencia de las medidas de seguridad, privacidad y confidencialidad de todo el personal de LinkedIn con respecto a los Datos personales del cliente y será responsable de cualquier incumplimiento por parte del personal de LinkedIn de los términos de este ATD;

c. Tomará medidas razonables para asegurarse de que todo el personal de LinkedIn protege la seguridad, la privacidad y la confidencialidad de los Datos personales del cliente de conformidad con las disposiciones de este ATD que se aplicarán como Anexo II de las Cláusulas contractuales tipo;

d. Notificará al Cliente cualquier Violación de la seguridad de los datos personales por parte de LinkedIn, de sus Subencargados del tratamiento o de cualquier tercero que actúe en nombre de LinkedIn, sin demora injustificada y, en cualquier caso, dentro de las 48 horas siguientes al momento en que haya tenido conocimiento de una Violación de la seguridad de los datos personales.

e. Si se produce una Violación de la seguridad de los datos personales como resultado de (i) negligencia o la falta deliberada de LinkedIn (o de cualquier Subencargado de tratamiento de LinkedIn conforme a la Sección 5.1[F]) o (ii) un incumplimiento sustancial por parte de LinkedIn de los términos de este ATD, LinkedIn deberá asumir todos los costes asociados a la investigación y corrección de la Violación de la seguridad de los datos personales. LinkedIn deberá proporcionar un reembolso razonable al Cliente por los costes asociados a la notificación a las personas afectadas según lo requiera la ley o la prestación de servicios de control de crédito u otros servicios de corrección adecuados, siempre que LinkedIn, como encargado del tratamiento, cumpla sus compromisos en virtud del apartado 5.3(b) de este ATD.

6. AUDITORÍA Y CERTIFICACIONES

6.1 Auditoría de la Autoridad de control del cliente. Si una Autoridad de control requiere una auditoría de las instalaciones de tratamiento de datos en las que LinkedIn trata los Datos personales del cliente a fin de determinar o supervisar el cumplimiento por parte del Cliente de los Requisitos de protección de datos, LinkedIn cooperará con dicha auditoría. El Cliente es responsable de todos los costes y gastos relacionados con dicha auditoría, incluidos todos los costes y honorarios razonables por el tiempo que LinkedIn emplee en dicha auditoría, además de las tasas por los servicios prestados por LinkedIn.

6.2 Auditorías. Previa solicitud, LinkedIn facilitará al Cliente cada año un informe de opinión o de control para la organización de servicios (Service Organization Control, SOC) realizado por una empresa de auditoría externa acreditada, según la declaración sobre normas para encargos de atestiguación (Statement on Standards for Attestation Engagements, SSAE) n.° 18 («SSAE 18») (Informe sobre los controles de una organización de servicios) o la norma internacional para encargos de verificación (International Standard on Assurance Engagements, ISAE) 3402 («ISAE 3402») (Informes de verificación sobre los controles en una organización de servicios) aplicables a los servicios en virtud del Acuerdo (cada informe, un «Informe»). Si un Informe no proporciona, según el criterio razonable del Cliente, información suficiente para confirmar que LinkedIn cumple los términos de este ATD, el Cliente o una empresa de auditoría externa acreditada acordada entre el Cliente y LinkedIn podrá auditar el cumplimiento por parte de LinkedIn de los términos de este ATD durante el horario laboral normal, con un aviso con antelación razonable a LinkedIn y conforme a procedimientos de confidencialidad razonables. El Cliente es responsable de todos los costes y gastos relacionados con dicha auditoría, incluidos todos los costes y honorarios razonables por el tiempo que LinkedIn emplee en dicha auditoría, además de las tasas por los servicios prestados por LinkedIn. Antes del comienzo de dicha auditoría, el Cliente y LinkedIn deberán acordar mutuamente el alcance, las fechas y la duración de la auditoría. El Cliente deberá proporcionar a LinkedIn de inmediato información sobre cualquier incumplimiento descubierto en el transcurso de una auditoría. El Cliente no podrá auditar a LinkedIn más de una vez al año.

7. TRANSFERENCIAS DE DATOS

7.1 Para transferencias de Datos personales procedentes de la UE a LinkedIn para su tratamiento por parte de LinkedIn en una jurisdicción distinta a la de la UE, el EEE o los países aprobados por la Comisión Europea que proporcionan una protección de datos «adecuada», cada parte acuerda que utilizará el Módulo 2 de las Cláusulas contractuales tipo de responsable a encargado, que se incorporan al presente documento por referencia. Las partes acuerdan que se aplican los siguientes términos: (i) la Comisión de Protección de Datos de Irlanda será la autoridad de control competente de conformidad con la cláusula 13 de las Cláusulas contractuales tipo; (ii) los interesados para los que una entidad de LinkedIn trata los Datos personales de la UE son terceros beneficiarios en virtud de las Cláusulas contractuales tipo aplicables; (iii) las Cláusulas contractuales tipo se regirán por la legislación de Irlanda, que permite los derechos de terceros beneficiarios de conformidad con la cláusula 17 de las Cláusulas contractuales tipo; y (iv) cualquier controversia derivada de las Cláusulas contractuales tipo será resuelta por los tribunales de Irlanda de conformidad con la cláusula 18 de las Cláusulas contractuales tipo. El Apéndice A del presente ATD se aplicará como Anexo I de las Cláusulas contractuales tipo y el Apéndice D se aplicará en el Anexo II de las Cláusulas contractuales tipo.

7.2 Si LinkedIn no es capaz o no llega a ser capaz de cumplir estos requisitos, los Datos personales procedentes de la UE se tratarán y utilizarán exclusivamente dentro del territorio de un estado miembro de la Unión Europea, y cualquier movimiento de Datos personales procedentes de la UE a un país no perteneciente a la UE requerirá el consentimiento previo por escrito del Cliente. LinkedIn notificará con prontitud al Cliente cualquier incapacidad por parte de LinkedIn de cumplir con las disposiciones de esta Sección 7. A pesar de lo expuesto anteriormente, cuando las transferencias contempladas en esta Sección 7 den lugar a transferencias de Datos personales del Reino Unido a LinkedIn para su tratamiento por parte de LinkedIn en una jurisdicción distinta del Reino Unido o de países aprobados por la Oficina de Comisionado de Información del Reino Unido que ofrezcan una protección de datos «adecuada», (1) cada una de las partes acepta que se utilicen las Cláusulas contractuales tipo de 2010 entre Responsables a encargados mientras estas Cláusulas contractuales tipo estén legalmente permitidas para dichas transferencias de Datos personales del Reino Unido, y (2) los Apéndices A y D se aplicarán como Anexo I y Anexo II, respectivamente. En caso de que la Oficina del Comisionado de Información de Reino Unido confirme que se requiere un «Anexo de Reino Unido a las Cláusulas contractuales tipo de la UE» («Anexo de Reino Unido») para basarse legalmente en las Cláusulas contractuales tipo para las transferencias de Datos personales de Reino Unido, entonces (a) las Cláusulas contractuales tipo utilizadas para los Datos personales de la UE también se aplicarán a las transferencias de Datos personales del Reino Unido; (b) el Anexo del Reino Unido se considerará ejecutado entre el Cliente y LinkedIn; y (c) las Cláusulas contractuales tipo entre las partes se modificarán según lo especificado en el Anexo del Reino Unido con respecto a la transferencia de dichos Datos personales del Reino Unido. El Comisionado de Información del Reino Unido es la Autoridad de control exclusiva para las transferencias de Datos personales del Reino Unido en virtud de este Acuerdo.

8. DEVOLUCIÓN Y ELIMINACIÓN DE DATOS

Las partes acuerdan que tras la terminación de los servicios de tratamiento de datos o a petición razonable del Cliente, LinkedIn, y cualquier Subencargado del tratamiento, a elección del Cliente, devolverá todos los Datos personales del cliente y las copias de esos datos al Cliente, o bien los destruirá y demostrará, a satisfacción del Cliente, que ha tomado tales medidas, a menos que los Requisitos de protección de datos impidan a LinkedIn devolver o destruir la totalidad o una parte de los Datos personales del cliente revelados. En tal caso, LinkedIn se compromete a preservar la confidencialidad de los Datos personales del cliente que conserva y a tratar únicamente de forma activa dichos Datos personales del cliente después de esa fecha, a fin de cumplir con las leyes aplicables. Para mayor claridad, LinkedIn puede seguir tratando Datos personales del cliente que se hayan agrupado de forma que no identifiquen a personas ni clientes con objeto de mejorar los sistemas y servicios de LinkedIn.  

9. ESCENARIOS ENTRE RESPONSABLES DEL TRATAMIENTO

Ciertos Servicios pueden ofrecer la visualización y exportación integradas de Datos personales de los miembros de LinkedIn a los que el Cliente ya dispone de acceso en el sitio web de LinkedIn, LinkedIn.com, en consonancia con la configuración de privacidad de los miembros. A los efectos del RGPD, cuando se produzca una exportación dirigida por miembros de Datos personales o cuando el Cliente ya disponga de acceso a dichos Datos personales, tanto el Cliente como LinkedIn serán responsables del tratamiento independiente de Datos personales derivados originalmente en los Servicios de LinkedIn. Las partes acuerdan que, para tales casos, LinkedIn y el Cliente actuarían como un responsable del tratamiento de datos con respecto a su copia particular de los Datos personales. Cada parte, en la medida en que, junto con la otra parte, actúa como responsable del tratamiento de datos, según se define el término en los Requisitos de protección de datos aplicables, con respecto a los Datos personales, cooperará razonablemente con la otra parte para permitir el ejercicio de los derechos de protección de datos, tal como se establecen en el reglamento general de protección de datos y en otros Requisitos de protección de datos. Cuando ambas partes actúen como responsables del tratamiento de datos con respecto a los Datos personales, y la transferencia de datos entre las partes tenga como resultado una transferencia de Datos personales procedentes de la UE a una jurisdicción distinta a la de la UE, el EEE o los países aprobados por la Comisión Europea que proporcionan una protección de datos «adecuada», cada parte acuerda que utilizará el Módulo 1 de las Cláusulas contractuales tipo, que se incorporan en este documento a modo de referencia. Las partes acuerdan que se aplican los siguientes términos: (i) la Comisión de Protección de Datos de Irlanda será la autoridad de control competente de conformidad con la cláusula 13 de las Cláusulas contractuales tipo; (ii) los interesados para los que una entidad de LinkedIn trata los Datos personales de la UE son terceros beneficiarios en virtud de las Cláusulas contractuales tipo aplicables; (iii) las Cláusulas contractuales tipo se regirán por la legislación de Irlanda, que permite los derechos de terceros beneficiarios de conformidad con la cláusula 17 de las Cláusulas contractuales tipo; y (iv) cualquier controversia derivada de las Cláusulas contractuales tipo será resuelta por los tribunales de Irlanda de conformidad con la cláusula 18 de las Cláusulas contractuales tipo. A pesar de lo expuesto anteriormente, cuando las transferencias contempladas en esta Sección 9 resulten en una transferencia de Datos personales del Reino Unido a una jurisdicción que no esté en el Reino Unido o en países aprobados por la Oficina del Comisionado de Información del Reino Unido que proporcionen una protección de datos «adecuada», (1) las Cláusulas contractuales tipo de Responsables del tratamiento de 2004, que se incorporan al presente documento por referencia, se aplicarán mientras dichas Cláusulas contractuales tipo estén legalmente permitidas para dichas transferencias de Datos personales del Reino Unido, (2) El Apéndice A y el Apéndice D se aplicarán como Anexo B y Anexo II, respectivamente, y (3) a efectos de la Sección II (h), el importador de datos tratará los Datos personales del Reino Unido, según su criterio, de conformidad con los principios de tratamiento de datos establecidos en el Anexo A de las Cláusulas contractuales tipo entre Responsables del tratamiento. En caso de que la Oficina del Comisionado de Información del Reino Unido confirme que se requiere un Anexo del Reino Unido para confiar legalmente en las Cláusulas contractuales tipo contempladas en esta Sección 9 para las transferencias de Datos personales del Reino Unido, entonces (a) las Cláusulas contractuales tipo utilizadas para los Datos personales de la UE en virtud de esta Sección 9 también se aplicarán a las transferencias de Datos personales del Reino Unido; (b) el Anexo del Reino Unido se considerará ejecutado entre el Cliente y LinkedIn; y (c) las Cláusulas contractuales tipo entre las partes se modificarán según lo especificado en el Anexo del Reino Unido con respecto a la transferencia de dichos Datos personales del Reino Unido..

A menos que se acuerde lo contrario por escrito, las partes reconocen y acuerdan que cada una actúa de forma independiente como Responsable del tratamiento de datos con respecto a los Datos personales y las partes no son responsables conjuntos, tal como se define en el Reglamento General de Protección de Datos.

10. ENCARGADOS DEL TRATAMIENTO DE DATOS DE TERCEROS

El Cliente reconoce que en la prestación de algunos servicios (como los Sistemas de Seguimiento de Solicitantes (ATS) y los Sistemas de gestión de aprendizaje), LinkedIn, tras recibir instrucciones del Cliente, podrá transferir los Datos personales del Cliente a los encargados del tratamiento de datos de terceros e interactuar con ellos. El Cliente acepta que, si y en la medida en que esas transferencias se producen, el Cliente es responsable de concertar acuerdos contractuales por separado con dichos encargados del tratamiento de datos de terceros por los que deberán cumplir con sus obligaciones de conformidad con los Requisitos de protección de datos. Para evitar dudas, dichos encargados del tratamiento de datos de terceros no son Subencargados del tratamiento.

11. PERIODO DE VIGENCIA

Este Acuerdo de tratamiento de datos permanecerá en vigor mientras LinkedIn lleve a cabo operaciones de tratamiento de Datos personales en nombre del Cliente o hasta la terminación del Contrato de LinkedIn (y todos los Datos personales hayan sido devueltos o eliminados de conformidad con lo dispuesto en la Sección 8 anterior).

12. LEGISLACIÓN APLICABLE, JURISDICCIÓN Y COMPETENCIA

Sin perjuicio de cualquier disposición contraria al Acuerdo, este Acuerdo de tratamiento de datos se regirá por las leyes de Irlanda, y cualquier acción o procedimiento relacionado con este Acuerdo de tratamiento de datos (incluidos los derivados de las controversias o reclamaciones no contractuales) se interpondrá en Dublín (Irlanda). No obstante, cuando surja un problema en relación con el tratamiento de los Datos personales del Reino Unido en virtud del presente Acuerdo de tratamiento de datos, dicho problema se regirá por la legislación de Inglaterra y Gales.

SCHEDULE A
ANNEX 1 - DESCRIPTION OF THE TRANSFER

Categorías de interesados cuyos Datos personales se transfieren:

Módulo 1 (de responsable a responsable): usuarios registrados de LinkedIn.com («Miembros de LinkedIn») 

Módulo 2 (de responsable a encargado):

Servicios

(Según corresponda)

Categorías de interesados cuyos Datos personales se transfieren:

Talent/Hire

- Empleados, contratistas, socios y/o clientes del exportador de datos

 

- Candidatos potenciales y reales del exportador de datos

 

- Terceros en la herramienta del Sistema de Seguimiento de Solicitantes del exportador de datos (normalmente se trata de terceros que tienen o pueden tener una relación con el exportador de datos, como candidatos o empleados potenciales o reales)

Learning

- Empleados, contratistas, estudiantes, usuarios no estándar (aprobados individualmente por LinkedIn) y/o usuarios de bibliotecas del exportador de datos

 

Glint/Engage

- Empleados del exportador de datos

 

Terceros que tienen, o pueden tener, una relación comercial con el exportador de datos (por ejemplo, contratistas).

Sales Solutions

- Empleados, contratistas, socios y/o clientes del exportador de datos

 

- Terceros en la herramienta de gestión de relaciones con los clientes del exportador de datos (normalmente, se trataría de terceros que tienen, o pueden tener, una relación comercial con el exportador de datos, como clientes y clientes potenciales)

Marketing Solutions

- Empleados, contratistas, socios y/o clientes del exportador de datos

 

- Miembros de LinkedIn que interactúan con las propiedades del exportador de datos o que pertenecen a la audiencia publicitaria del exportador


Categorías de Datos personales transferidos:

Módulo 1 (de responsable a responsable)

Los datos transferidos son los datos personales de los miembros de LinkedIn a los que el cliente ya puede acceder en el sitio web de LinkedIn, LinkedIn.com, de acuerdo con la configuración de privacidad de los miembros, proporcionados por el exportador de datos (LinkedIn) al importador de datos (el cliente) en relación con el uso por parte del cliente de los servicios de contratación, ventas y/o asesoramiento en línea de LinkedIn, y posteriormente procesados por el cliente para sus propios fines. Estos datos personales pueden incluir el nombre, los apellidos, la dirección de email, la información de contacto, la educación y el historial laboral.

Módulo 2 (de responsable a encargado)

Los datos transferidos son los datos personales proporcionados por el exportador de datos al importador de datos en relación con su uso de los servicios de contratación, ventas, marketing, participación de los empleados y/o aprendizaje en línea de LinkedIn Ireland, conocidos como Datos personales del cliente en el Acuerdo de tratamiento de datos.

Dichos Datos personales del cliente pueden incluir, en función de la contribución/interacción del titular de licencia del Cliente

Servicios

(Según corresponda)

Categorías de Datos personales de los clientes
Talent/Hire

- Información de usuario de Talent/Hire (puede incluir nombre, email, cargo)

 

- Anuncios de empleo (datos de uso del creador de anuncios de empleo, datos de solicitantes, preguntas de selección y respuestas)

 

- Datos de uso del producto (incluidos proyectos de contratación, contenido de mensajes del técnico de selección de personal, currículos subidos como parte de la solicitud de empleo, notas sobre un perfil de candidato)

 

- Datos del solicitante (datos del curriculum vitae, datos de contacto y otra información de perfil presentada como parte de una solicitud) 

 

- Informes de utilización para usuarios de Talent Solutions

 

- (Según corresponda) Recruiter Systems Connect (estado del candidato, avisos de solicitud, acciones tomadas, perfiles de código auxiliar, respuestas de InMail)

 

- Dirección IP, características del dispositivo/navegador

Learning

- Información del usuario de aprendizaje (puede incluir el ID de usuario, el ID único, el nombre, la dirección de email)

 

- (Según corresponda) Número de tarjeta de biblioteca + contraseña

 

- Datos de uso del producto (incluidas actividades de aprendizaje, marcadores, recomendaciones, notas y resultados de tests)

 

- Dirección IP, características del dispositivo/navegador

Glint/Engage

- Información personal acerca de su personal (puede incluir nombre, dirección de email emitida por la empresa, número de identificación emitido por el empleador, lugar de trabajo, función laboral, código de departamento, nivel de calificación del empleado, año de nacimiento, género binario, datos de servicio continuo, otra información de personal en el recurso humano del exportador de datos sistema de información (HRIS); dirección IP, características del dispositivo/navegador)

 

- Información de inicio de sesión empresarial (si utiliza SSO)

 

- Datos de uso del producto (incluidas las opiniones de los encuestados proporcionadas en respuesta a las preguntas de la encuesta y los comentarios de los empleados proporcionados en respuesta a las preguntas de valoración de rendimiento).

Sales Solutions

- Información de usuario de Sales Navigator

 

- Datos de uso del producto (incluidos InMail/mensajes, notas, etiquetas, presentaciones de SmartLinks y datos de contacto creados por el usuario)

 

- Informes de uso para usuarios de Sales Navigator y

 

- (Según corresponda) cualquier dato de CRM sincronizado con Sales Navigator

 

- Dirección IP, características del dispositivo/navegador

Marketing Solutions

- Datos de inicio de sesión empresarial y uso del producto de la licencia

 

- (Según corresponda) Datos de CRM

 

- (Según corresponda) Posibles clientes de ventas y marketing

 

- (Según corresponda) Información de segmentación de contactos del público coincidente, incluida la dirección de email codificada, el nombre y el apellido, el empleador, el cargo, el país y los identificadores de dispositivos móviles

 

- (Según corresponda) Datos Insight Tag, incluidos el seudónimo de miembro, la dirección IP, las características del dispositivo y del navegador, la marca de hora y la URL.

 

- (Según corresponda) Criterios publicitarios recibidos por LinkedIn Audience Networks mediante el proceso de pujas en tiempo real  


Datos confidenciales transferidos (según corresponda) y restricciones o medidas de seguridad aplicadas que tienen plenamente en cuenta la naturaleza de los datos y los riesgos implicados, tales como, por ejemplo, la limitación estricta del propósito, las restricciones de acceso (incluido el acceso solo para el personal que siguió una formación especializada), mantener un registro de acceso a los datos, restricciones para transferencias posteriores o medidas de seguridad adicionales:

No

En caso afirmativo, incluya aquí una descripción de las restricciones o medidas de seguridad aplicadas:

N/A

Frecuencia de las transferencias (por ejemplo, si los datos se transfieren de forma puntual o continua):

Continuo

Naturaleza del tratamiento

Recopilación, organización, estructuración, uso, almacenamiento, combinación, puesta a disposición en las propiedades de LinkedIn, de acuerdo con los servicios pertinentes. 

Finalidad(es) de la transferencia de datos y del procesamiento posterior:

  • Prestar, mantener y mejorar los servicios (de conformidad con el DPA) al exportador de datos,
  • Suministrar atención al cliente al exportador de datos,
  • Por otra parte, cumplir con las obligaciones de LinkedIn (y, según corresponda, de su entidad afiliada) en virtud de su respectivo acuerdo de servicios con el exportador de datos; y
  • Cumplimiento de la legislación aplicable.

El período durante el cual se conservarán los Datos personales o, si no fuera posible, los criterios utilizados para determinar dicho período:

LinkedIn conservará los datos mientras dure el plazo de los servicios especificados en el documento de pedido y de conformidad con la Sección 8 del ATD.

Para las transferencias a (sub)encargados del tratamiento, especifique también el tema, la naturaleza y la duración del tratamiento:

LinkedIn utiliza subencargados del tratamiento para respaldar su entorno de infraestructura, proveedores locales e internacionales de servicios de telecomunicaciones y networking, entidades jurídicas dedicadas al almacenamiento de datos y material de entrega de contenido. Los Datos personales tratados por los subencargados del tratamiento se tratan para los fines y la duración del acuerdo de servicios de LinkedIn o del documento de solicitud correspondiente. Para obtener más información, consulte la Lista de subencargados del tratamiento de LinkedIn en la siguiente dirección web: https://legal.linkedin.com/customer-subprocessors, que también se aplicará como Anexo III de las Cláusulas contractuales tipo, si procede.

Varios

En el caso de Hire, Learning y Sales, los Datos personales de los miembros de Linkedln de los usuarios del Cliente que eligen conectar su perfil de Miembro personal de LinkedIn.com con la licencia empresarial proporcionada por el Cliente no se incluyen en el presente documento y se rigen por las Cláusulas contractuales tipo independientes entre LinkedIn Ireland Unlimited Company como exportador de datos y LinkedIn Corporation como importador de datos. 

SCHEDULE B
ADDENDUM TO LINKEDIN DATA PROCESSING AGREEMENT
California Consumer Privacy Act

Este Anexo es vinculante para el cliente de LinkedIn identificado en el documento de solicitud de LinkedIn correspondiente para los servicios de LinkedIn (en adelante, el «Cliente») y la empresa LinkedIn identificada en el documento de solicitud (en adelante, «LinkedIn»), y modifica el ATP de LinkedIn entre el Cliente y LinkedIn («ATD») con respecto al tratamiento por parte de LinkedIn de Datos personales del cliente de consumidores de California conforme a la Ley de privacidad del consumidor de California (CCPA). Los términos con mayúscula inicial utilizados, pero no definidos en este Anexo tendrán el significado que se les atribuye en el ATP. Los términos con mayúscula inicial no definidos en este ATP tendrán el significado que se les atribuye en la CCPA.

La CCPA no permite la venta. Las partes acuerdan que, a efectos de la CCPA, LinkedIn actúa como proveedor de servicios CCPA para los Datos personales del cliente. Al ejecutar el documento de solicitud,

  • el Cliente no vende sus Datos personales a LinkedIn. LinkedIn solo utilizará los Datos personales del cliente para los fines permitidos por la CCPA y según lo especificado en el presente Acuerdo. LinkedIn se compromete a no vender ni compartir (según la definición de la CCPA) los Datos personales del cliente.
  • LinkedIn se compromete a no combinar los Datos personales del cliente con otra información personal, excepto en los casos permitidos por la CCPA.
  • En la medida en que LinkedIn reciba información del Cliente que haya sido desidentificada, tal y como se define en los Requisitos de protección de datos aplicables, LinkedIn se compromete a no intentar reidentificar los datos, a tomar medidas razonables para mantener y utilizar la información de forma desidentificada, excepto en la medida en que lo permita la ley y a obligar contractualmente a cualquier destinatario autorizado a cumplir los Requisitos de protección de datos aplicables para la información que haya sido desidentificada.
  • LinkedIn se compromete a informar al Cliente dentro del plazo requerido en virtud de la CCPA, si LinkedIn determina que ya no puede cumplir con sus obligaciones en virtud de dicha ley.
  • LinkedIn certifica que ha leído y comprende este Anexo y que lo acata, lo que incluye evitar cualquier acción que pudiera provocar que la otra Parte hubiera vendido Datos o Información personales en virtud de la CCPA.

SCHEDULE C
GLINT-SPECIFIC TERMS AND AMENDMENTS

Los siguientes términos y condiciones modifican el ATP solo con respecto a los productos y servicios de LinkedIn ofrecidos bajo la marca Glint (incluidos Glint Engage y Glint Perform). Para evitar dudas, si el Cliente adquiere servicios de Glint según lo establecido en el Acuerdo (en adelante, los «Servicios de Glint») además de servicios de LinkedIn, las siguientes modificaciones solo se aplican con respecto a dichos productos o servicios de Glint, y el Acuerdo de tratamiento de datos se aplicará sin modificaciones con respecto a los servicios de LinkedIn.

Las siguientes cláusulas se añaden al ATP como la nueva Sección 4.3:

   4.3 Aviso y elección. 

   a. El Cliente acepta proporcionar notificaciones apropiadas a los Usuarios del cliente de los Servicios de Glint y, si los Requisitos de protección de datos así lo exigen, obtener el consentimiento correspondiente u otro fundamento legal apropiado de dichos Usuarios del cliente para: (i) la recopilación, la transferencia y el tratamiento de Datos personales del cliente a través de los servicios de LinkedIn, y (ii) el uso por parte del Cliente de cualquier proveedor de servicios u otros terceros a los que el Cliente indique a LinkedIn que envíe o proporcione Datos personales del cliente a LinkedIn. Sin limitar la generalidad de lo anterior, el Cliente podrá suministrar a LinkedIn Datos personales con el fin de permitir a LinkedIn proporcionar los servicios de LinkedIn. El Cliente manifiesta y garantiza que tiene el derecho y la autoridad pertinentes para proporcionar los Datos personales a LinkedIn. 

   b. El Cliente decidirá el contenido de los «Avisos de confidencialidad del usuario» que se proporcionarán a los Usuarios del cliente (por ejemplo, en el caso de Glint Engage, un Aviso de confidencialidad de la encuesta) en relación con el grado de confidencialidad y anonimato que tendrá un Usuario del cliente y, si procede, cualquier comunicado necesario conforme a cualquier Requisito de protección de datos (por ejemplo, el Artículo 13 del Reglamento general de protección de datos). A discreción del Cliente, este puede utilizar un Aviso de confidencialidad del usuario de LinkedIn predeterminado.  El administrador principal del Cliente proporcionará a LinkedIn el Aviso de confidencialidad del usuario al menos tres (3) días laborables antes de su uso. El Cliente acepta que no modificará ni eliminará ninguna parte del Aviso de confidencialidad del usuario, ni incluirá declaración alguna en ninguna comunicación con un Usuario del cliente que imponga alguna obligación a LinkedIn, o que modifique, contradiga o complemente de cualquier forma el Aviso de confidencialidad del usuario proporcionado a LinkedIn. El Cliente es el único y exclusivo responsable de garantizar que el uso de los Datos personales del cliente y del Aviso de confidencialidad del usuario cumple todos los Requisitos de protección de datos pertinentes. 

Las siguientes cláusulas se añaden al Acuerdo de tratamiento de datos como la nueva Sección 4.4:

   4.4 Agrupación y no identificación. En la medida en que un Aviso de confidencialidad del usuario informe a los Usuarios del cliente de que el Cliente solo recibirá datos de LinkedIn de forma agrupada, el Cliente acepta que no recibirá ni intentará obtener dichos Datos personales del cliente de forma que identifiquen a los Usuarios del cliente individuales con Datos personales del cliente.

La primera frase de la Sección 5.1.a del Acuerdo de tratamiento de datos se sustituye por la siguiente frase:

   Tratar los Datos personales del cliente (i) solo con el fin de proporcionar, apoyar y mejorar los Servicios de Glint (lo que incluye proporcionar información agrupada no identificable para mejorar los Servicios de Glint los servicios de LinkedIn, y proporcionar datos comparativos de encuestas a los clientes de LinkedIn, en los que se haya eliminado la identificación tanto del sujeto de los datos como del Cliente), utilizando las medidas de seguridad técnicas y organizativas adecuadas; y (ii) de conformidad con las instrucciones recibidas del Cliente. 

La Sección 5.1.g del Acuerdo de tratamiento de datos se sustituye en su totalidad por la siguiente cláusula:

   Previa solicitud, proporcionar al Cliente un extracto de las políticas de seguridad de LinkedIn aplicables a los servicios de la marca Glint.

La Sección 8 del Acuerdo de tratamiento de datos se sustituye en su totalidad por las siguientes cláusulas:

   Las partes aceptan que, tras la finalización de los servicios de tratamiento de datos, LinkedIn, y cualquier Subencargado del tratamiento, a elección del Cliente y a menos que los Requisitos de protección de datos impidan a LinkedIn devolver o destruir la totalidad o una parte de los Datos personales del Cliente revelados: (i) devolverá al Cliente todos los Datos personales del Cliente, incluidas las respuestas a la encuesta, si el Aviso de confidencialidad del usuario del cliente ha revelado que el Cliente recibiría respuestas que identifican a personas, o (ii) los destruirá de forma segura y demostrará, a satisfacción del Cliente, que ha tomado tales medidas, o (iii) exportará los Datos personales del cliente, de forma no agrupada, al nuevo proveedor de servicios del Cliente en virtud de un acuerdo por escrito independiente, razonablemente satisfactorio para LinkedIn, por el cual el Cliente y el destinatario de los datos aceptan la responsabilidad de los Datos personales del cliente tras su transferencia o exportación. LinkedIn se compromete a preservar la confidencialidad de los Datos personales del cliente que conserva y a tratar únicamente de forma activa dichos Datos personales del cliente después de esa fecha, a fin de cumplir con los Requisitos de protección de datos que resulten aplicables. Para mayor claridad, tras la finalización del Contrato de LinkedIn, LinkedIn puede seguir tratando Datos personales del cliente que se hayan agrupado de forma que no identifiquen a personas ni clientes con objeto de mejorar los sistemas y servicios de LinkedIn.

Las Secciones 9 y 10 del ATD no se aplicarán en lo que respecta a los productos o servicios de Glint.

SCHEDULE D
Annex II to the SCCs
TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

1. Medidas generales de seguridad

El importador de datos cumplirá las medidas de seguridad estándar del sector (incluido con respecto al personal, las instalaciones, el hardware y el software, el almacenamiento y las redes, los controles de acceso, la supervisión y el registro, la detección de vulnerabilidades e infracciones y las medidas de respuesta a incidentes necesarias para ofrecer protección contra el acceso no autorizado o accidental, la pérdida, la modificación, la divulgación o la destrucción de los datos personales del exportador de datos proporcionados por el exportador de datos al importador de datos), así como con todas las leyes, reglamentos y normas de seguridad y privacidad de datos aplicables.  

2. Información de contacto

Puede ponerse en contacto con el equipo de seguridad del importador de datos en security@linkedin.com para cualquier problema o pregunta de seguridad relacionada con el producto.

3Cumplimiento

El importador de datos cumple las normas y prácticas establecidas en la siguiente dirección web: https://security.linkedin.com/trust-and-compliance. El exportador de datos debe ponerse en contacto con su responsable de cuenta de LinkedIn para obtener información adicional sobre las certificaciones de seguridad que se indican en la dirección web.

 4. Programa de seguridad de la información

El objetivo del Programa de seguridad de la información de LinkedIn es mantener la confidencialidad, integridad y disponibilidad de sus sistemas informáticos y de comunicación de datos y, al mismo tiempo, cumplir los requisitos legislativos, contractuales y sectoriales necesarios. El importador de datos deberá establecer, implementar y mantener un programa de seguridad de la información que incluya medidas físicas y de seguridad técnicas y organizativas, así como políticas y procedimientos para proteger los datos del exportador de datos tratados por el importador de datos frente a la pérdida accidental, destrucción o modificación, divulgación o acceso no autorizados, o destrucción ilegal.

4.1 Desarrollo seguro del software

El importador de datos deberá mantener políticas y procedimientos para garantizar que el desarrollo de los sistemas, los dispositivos, las aplicaciones y las infraestructuras se lleve a cabo de manera segura. Esto incluye la revisión y prueba de todas las aplicaciones, los productos y los servicios del importador de datos para detectar vulnerabilidades y defectos de seguridad comunes, el empleo de una estrategia de defensa en profundidad mediante el uso de varias capas de límites y tecnologías de seguridad, pruebas de penetración periódicas y evaluaciones de seguridad de estos servicios, definiciones de configuraciones de referencia y requisitos para la aplicación de parches de sistemas de terceros.

4.2 Seguridad de los Recursos Humanos

El importador de datos deberá mantener una política que defina los requisitos en torno a la aplicación de medidas de seguridad en lo que se refiere a los cambios de estado de empleo. Aquí incluye la verificación de antecedentes, el reconocimiento y la adhesión a las políticas de seguridad del importador de datos, la orientación y la rescisión de empleados y terceros.

4.3 Clasificación y protección de datos

El importador de datos deberá mantener políticas y procedimientos para la clasificación y protección de datos, junto con requisitos para la clasificación de datos que contengan datos personales en consideración de las leyes, los reglamentos y las obligaciones contractuales aplicables. El importador de datos también mantendrá requisitos sobre el cifrado de datos, reglas para la transmisión de datos y requisitos para medios extraíbles, junto con requisitos sobre cómo se debe regir el acceso a estos datos.

4.4 Seguridad de la red

El importador de datos deberá mantener políticas y procedimientos en torno a la infraestructura de red utilizada para tratar los datos del exportador de datos, establecer e implantar prácticas de red seguras y definir acuerdos de nivel de servicio con servicios de red internos y externos. 

4.5 Seguridad física y ambiental

El importador de datos deberá mantener políticas y procedimientos para la seguridad física y ambiental, definir los requisitos para proteger áreas que contienen información confidencial y garantizar que los servicios de información crítica estén protegidos contra interceptación, interferencias o daños.

4.6 Continuidad empresarial y recuperación ante desastres

El importador de datos deberá mantener políticas y procedimientos para garantizar que el importador de datos pueda seguir realizando funciones empresariales críticas frente a un evento extraordinario. Aquí se incluye la resiliencia del centro de datos y los procedimientos de recuperación ante desastres para las funciones de tratamiento de datos críticos para la empresa.

5. Control de acceso

El importador de datos deberá mantener medidas de control de acceso diseñadas para limitar el acceso a las instalaciones, las aplicaciones, los sistemas, los dispositivos de red y los sistemas operativos del importador de datos a un número limitado de empleados que necesitan dicho acceso para el desempeño de sus funciones empresariales. El importador de datos deberá asegurarse de retirar dicho acceso cuando ya no sea necesario y deberá llevar a cabo revisiones de acceso periódicamente.

6. Evaluaciones de riesgo

El importador de datos tiene un procedimiento documentado de gestión de riesgos y un proceso de ciclo de vida de desarrollo de software seguro. El importador de datos realiza evaluaciones de riesgo de sus productos e infraestructura regularmente, incluida la revisión de las políticas de clasificación de datos y revisiones específicas de flujos de datos con un alto nivel de confidencialidad.

El importador de datos realiza pruebas a nivel de aplicaciones e infraestructura para cada nuevo producto que se lanza, además de evaluaciones periódicas de su red y cambios de funciones. El importador de datos aprovecha el control de acceso y la revisión de código de pares, lo que permite asegurarse de que no se introduzcan virus en el código y detectar dicho mal uso. El importador de datos utiliza una combinación de herramientas automatizadas y pruebas de penetración manual.

7. Evaluaciones de riesgo de terceros

El importador de datos realiza auditorías de seguridad en proveedores de servicios de terceros para evaluar y supervisar el riesgo. Esta evaluación incluye una revisión del alcance de la información confidencial y de los datos personales transferidos o tratados por el proveedor de servicios, así como de la finalidad del trabajo. El importador de datos también llevará a cabo una evaluación de riesgo, que puede incluir las medidas de seguridad técnicas y organizativas del proveedor de servicios, la confidencialidad de cualquier información tratada por el proveedor de servicios, las limitaciones de almacenamiento y los procedimientos y plazos de eliminación de datos.

8. Medidas complementarias

Además de las medidas de seguridad generales expuestas anteriormente, el importador de datos aplicó las siguientes medidas técnicas y organizativas complementarias:

  • Los datos personales del cliente, tal como se definen en el Contrato de procesamiento de datos, se transfieren a través de las redes públicas a los centros de datos del importador de datos en los Estados Unidos y se almacenan en servidores seguros detrás del firewall.
  • Los nuevos clientes de Glint pueden seleccionar entre las ubicaciones de almacenamiento de datos de Glint US o Glint EU para alojar sus datos personales de clientes específicos de Glint.
  • El importador de datos cifra todos los Datos personales del cliente en tránsito a través de las redes públicas en función de la capacidad del exportador de datos para admitir el cifrado. Ciertos datos altamente confidenciales (incluidas, entre otras, contraseñas, tokens de autenticación, información del sueldo y de pago) también se cifran en reposo. LinkedIn solo utilizará normas probadas y aceptadas por el sector para los algoritmos criptográficos.
  • Los datos del importador de datos se replican en todos sus centros de datos en un entorno seguro.
  • El importador de datos emplea la lógica de aplicaciones con la autorización adecuada para proteger los datos del inquilino. Las solicitudes de acceso se revisan para garantizar que solo se conceda el acceso adecuado. Los registros de acceso a servidores y bases de datos se conservan con fines de auditoría.
  • El importador de datos implementa medidas de seguridad estándar del sector para todas sus líneas de productos, tal como se establece en https://security.linkedin.com/trust-and-compliance, incluidos 27001 e ISO 27018 y PCI DSS para Talent Solutions, Learning Solutions, Marketing Solutions y Sales Solutions. Los empleados y contratistas de los importadores de datos reciben formación en relación con medidas de seguridad técnicas y organizativas específicas.
  • Los servidores están supervisados por herramientas de monitorización de red patentadas y estándar del sector, para evitar posibles fallos de seguridad.
  • Los sistemas y bases de datos corporativos están protegidos por contraseña.
  • El acceso directo a la red VPN y LinkedIn se limita a los dispositivos emitidos o aprobados por la empresa.
  • La autenticación de doble factor está en funcionamiento para el acceso VPN.
  • Las contraseñas de clientes y miembros se utilizan con codificación y se almacenan en una base de datos segura y separada.
  • Las claves de la base de datos de tarjetas de crédito se rotan regularmente.
  • Supervisión activa y automatizada de registros de acceso críticos y detección de anomalías.