ACUERDO DE PROCESAMIENTO DE DATOS DE LINKEDIN

Este Acuerdo de Procesamiento de Datos (“APD”) entre el cliente de LinkedIn identificado en el documento ordenante correspondiente de LinkedIn para los servicios de LinkedIn (“el Cliente”) y la compañía LinkedIn identificada en el ordering document documento ordenante (“LinkedIn”) regula el procesamiento de los datos personales que el cliente sube o proporciona a LinkedIn en relación con los servicios y el procesamiento de todo dato personal que LinkedIn sube o proporciona al cliente en relación a los servicios.

Este APD se incorpora al acuerdo de servicios de LinkedIn relevante adjunto o incluido en el documento ordenanteordering document ejecutado previamente por el cliente, lo que en este APD se denomina “contrato de LinkedIn”. En conjunto, el APD (que incluye las cláusulas SCC, aquí definidas), el contrato de LinkedIn y los documentos ordenantes correspondientes serán denominados “el acuerdo”. En caso de presentarse cualquier inconsistencia entre los términos del Acuerdo, prevalecerán las disposiciones de los siguientes documentos (en orden de prioridad): a) las cláusulas SCC, b) este APD, c) el contrato de LinkedIn, y d) el documento ordenante  correspondiente al contrato de LinkedIn. El contrato de LinkedIn y el documento ordenante correspondiente permanecerán inalterables y vigentes a menos que este APD indique su reforma de manera específica.

1. DEFINICIONES

“Cláusulas SCC de controlador a controlador” se refiere a las Cláusulas Contractuales Estándares (transferencias de controlador a controlador – Módulo II) del anexo de la Decisión de la Comisión Europea del 27 de diciembre de 2004. Las cuales pueden ser modificadas periódicamente por la Comisión Europea.

“Cláusulas SCC de controlador a procesador” se refiere a las Cláusulas Contractuales Estándares (procesadores) del anexo de la Decisión de la Comisión Europea del 5 de febrero de 2010. Las cuales pueden ser modificadas periódicamente por la Comisión Europea.

“Datos personales del cliente” se refiere a la información personal I) que sube el cliente o que el cliente proporciona a LinkedIn en relación a los servicios de LinkedIn o II) cuyos datos controla el cliente.

Responsable del Tratamiento: Se refiere al Cliente.

Encargado del Tratamiento: Se refiere LinkedIn.

“Requisitos de protección de datos” se refiere a la Directiva, el Reglamento General de Protección de Datos, las leyes locales de protección de datos, toda legislación subordinada y toda norma que implemente el Reglamento General de Protección de Datos, y todas las leyes de privacidad.

“Directiva” se refiere a la Directiva de Protección de Datos de la UE 95/46/EC (según su reforma).

“Datos personales de la UE” se refiere a la información personal cuyo procesamiento según este acuerdo esta regulada por la Directiva, el Reglamento General de Protección de Datos y las Leyes Locales de Protección de Datos.

“Reglamento General de Protección de Datos” se refiere al reglamento de la Unión Europea en cuanto a la protección de las personas en materia del procesamiento de datos personales y del libre movimiento de dichos datos, y a la revocación de la Directiva 95/46/EC.

 “Leyes locales de protección de datos” se refiere a toda legislación y normativa subordinada que implemente la Directiva o el Reglamento General de Protección de Datos y sea aplicable al Acuerdo.

“Información personal” se refiere a la información concerniente a una persona que a) sirva para identificar, contactar o localizar a una persona, e incluye datos que el cliente decide proporcionar a LinkedIn de servicios como sistemas de seguimiento de solicitantes (en inglés, ATSs) o servicios de administración de las relaciones con el cliente (en inglés, CRM); b) pueda combinarse con otra información que pueda usarse para identificar, contactar o localizar a una persona o c) sea definida como “datos personales” o “información personal” por las leyes o normativas correspondientes en relación a la recopilación, uso, almacenamiento o divulgación de información sobre una persona identificable.

“Violación de datos personales” se refiere a la destrucción, pérdida, modificación, divulgación no autorizada o acceso accidental o ilegítimo a datos personales del Cliente.

“Leyes de privacidad” se refiere a toda ley, normativa y requisitos legales en relación a: a) privacidad, seguridad de datos, protección del consumidor, comercialización, promoción, mensajería de texto, correo electrónico y otros medios de comunicación y b) al uso, recopilación, retención, almacenamiento, seguridad, divulgación, transferencia, eliminación y otras formas de procesamiento de cualquier tipo de información personal.

“Proceso” y sus derivados se refieren a toda operación o conjunto de operaciones relacionadas con información personal o segmentos de información personal sea o no automatizada, como ser recopilación, registro, organización, estructuración, almacenamiento, adaptación o modificación, recuperación, consulta, uso, divulgación mediante transmisión, difusión u otra forma de revelación, alineación o combinación, restricción, eliminación o destrucción.

“SCCs” se refiere a las cláusulas contractuales estándares de controlador a procesador y de controlador a controlador de común acuerdo entre las partes de este Acuerdo.

“Subprocesador” se refiere a cualquier entidad que brinde servicios de procesamiento a Linkedin , en ejercicio del procesamiento de en nombre del  Cliente.

“Autoridad supervisora” se refiere a una autoridad pública independiente designada por un estado miembro de la UE en conformidad con el Artículo 51 del Reglamento General de Protección de Datos.

2. LA NATURALEZA DEL PROCESAMIENTO DE DATOS.

Las partes acuerdan procesar datos personales recibidos bajo este acuerdo solamente con los fines pautados en este Acuerdo. A modo de aclaración, las categorías de datos personales procesados y las categorías de personas registradas sujetas a este APD figuran en el apéndice A de este APD.

3. CUMPLIMIENTO DE LA LEY.

Las partes deberán cumplir con sus respectivas obligaciones segun los requisitos de protección de datos aplicables.

4. OBLIGACIONES DEL CLIENTE.

El  cliente se se compromete a:

4.1.   Proporcionar instrucciones a LinkedIn y determinar los fines y métodos generales del procesamiento de datos personales del Cliente por parte de Linkedin , en conformidad con este Acuerdo; y

4.2.   Cumplir con su protección, seguridad y otras obligaciones con respecto a datos personales del Cliente determinados por los requisitos de protección de datos para responsables del tratamiento a) estableciendo y manteniendo un procedimiento para el ejercicio de los derechos de las personas cuyos datos personales son procesados en representación de un responsable del tratamiento; b) procesando solamente datos recopilados en forma legal y válida y asegurándose de que dichos datos sean relevantes y adecuados para sus respectivos usos y c) asegurándose de cumplir con las disposiciones de este Acuerdo por parte de su personal o de terceros que accedan o usen los datos personales en representación suya.

5. OBLIGACIONES DE LINKEDIN.

5.1.   Requisitos de procesamiento. El encargado del tratamiento

a.   Procesará datos personales del cliente i) con el único propósito de brindar, asistir y optimizar los servicios del Linkedin (lo que incluye aportar ideas y otros informes) implementando medidas de seguridad organizativas y técnicas adecuadas; y ii) cumpliendo con las instrucciones del responsable del tratamiento. El encargado del tratamiento no usará ni procesará los datos personales con ningún otro propósito. En caso de no poder cumplir con los requisitos de este APD, el encargado del tratamiento notificará de inmediato al responsable del tratamiento por escrito. En ese caso, el responsable del tratamiento podrá dar por finalizado el Acuerdo o tomar cualquier otra medida razonable, como suspender las operaciones de procesamiento de datos.

b.   Informará de inmediato al responsable del tratamiento si considera que una de las instrucciones del responsable del tratamiento no cumple con los requisitos aplicables de protección de datos.

c.     Si el recopila datos personales de personas en representación del responsable del tratamiento, deberá seguir las instrucciones del responsable del tratamiento en cuanto a la recopilación de datos personales (esto incluye lo concerniente a notificaciones y a la libertad de elección);

d.    Procurará tomar las medidas comerciales razonables para asegurarse de que i) las personas empleadas y ii) otras personas que actúen en representación del encargado del tratamiento cumplan con los términos del Acuerdo;

e.    Deberá asegurarse de que sus empleados, representantes autorizados y subprocesadores cumplan, reconozcan y respeten la confidencialidad de los datos personales, incluso después de finalizada su gestión, contrato o tarea;

f.    Si se propone contratar subprocesadores para cumplir con sus obligaciones en conformidad con este APD o delegar las actividades de procesamiento de manera total o parcial a dichos subprocesadores, i) excepto al usar la lista de subprocesadores que Linkedin publica online  (dicha lista para LinkedIn está disponible en línea en https://legal.linkedin.com/customer-subprocessors), el encargado del tratamiento deberá contar con la autorización del responsable del tratamiento por escrito antes de realizar la subcontratación, cuyo consentimiento no será negado sin justa causa; ii) asumirá la responsabilidad por las acciones y omisiones de los subprocesadores en cuanto a la protección de datos cuando dichos subprocesadores actúen siguiendo las instrucciones del encargado del tratamiento; y iii) establecerá acuerdos contractuales con dichos subprocesadores obligándolos a brindar el mismo nivel de protección de datos y seguridad de la información que se brinda aquí;

g.    En caso de serle solicitado, deberá brindarle al responsable del tratamiento las políticas de seguridad y privacidad del encargado del tratamiento; y

h.    Deberá informar al responsable del tratamiento si algún encargado del tratamiento estuviera realizando algún análisis de seguridad independiente.

5.2.   Notificación al responsable del tratamiento. El encargado del tratamiento informará al responsable del tratamiento en caso de percatarse de:

a.   Incumplimientos del APD o de los Requisitos de Protección de Datos relacionados a la protección de datos personales segun las secciones 5 a 8  de este APD por parte del encargado del tratamiento o de sus empleados;

b.    Cualquier pedido legalmente vinculante de divulgación de datos personales por parte de autoridades de seguridad pública a menos que el encargado del tratamiento tenga la prohibición legal de informar al responsable del tratamiento, por ejemplo, con el fin de mantener la confidencialidad de una investigación de las autoridades de seguridad pública;

c.    Cualquier aviso, consulta o investigación de datos personales por parte de las autoridades supervisoras; o

d.    Quejas o peticiones de personas registradas del responsable del tratamiento (más específicamente peticiones para acceder a, corregir o bloquear datos personales). El encargado del tratamiento no responderá  dichas quejas o peticiones sin la autorización del responsable del tratamiento por escrito.

5.3.   Asistencia al responsable del tratamiento. El encargado del tratamiento asistirá de manera razonable al responsable del tratamiento con:

a.   Las peticiones de las personas registradas del responsable del tratamiento en materia del acceso a o la corrección, cancelación, restricción, transferibilidad, bloqueo o eliminación de datos personales que el encargado del tratamiento procesa para el responsable del tratamiento. En el caso de que una persona registrada envíe dicha petición directamente al encargado del tratamiento, el encargado del tratamiento la enviará de inmediato al responsable del tratamiento;

b.   La investigación de la violación de datos personales y la notificación a la autoridad supervisora y a las personas registradas del responsable del tratamiento sobre dicha violación de datos personales; y

c.   El desarrollo de evaluaciones del impacto de la protección de datos y cuando sea necesario, consultas con la autoridad supervisora, siempre que corresponda.

5.4.   Procesamiento requerido. Si los Requisitos de Protección de Datos obligan al encargado del tratamiento a procesar datos personales de clientes para otros fines diferentes a los de este Acuerdo, el encargado del tratamiento le informará al responsable del tratamiento de este requisito antes de llevar a cabo el procesamiento a menos que el encargado del tratamiento tenga la pohibición legal de notificar al responsable del tratamiento de dicho procesamiento (por ejemplo, por motivos de confidencialidad impuesta por las leyes de los estados miembros de la UE).

5.5.   Seguridad. El encargado del tratamiento:

a.   Adoptará de manera sostenida medidas de seguridad técnicas y organizativas (en cuanto al personal, los establecimientos, hardware y software, almacenamiento y redes, controles de acceso, monitoreo e ingreso al sistema, vulnerabilidad y detección de violaciones al sistema, respuesta ante incidentes, encriptado de datos personales almacenados y en tránsito) para proteger los datos personales de cualquier acceso accidental o no autorizado, pérdida, modificación, divulgación o destrucción;

b.    Se hará responsable del nivel de seguridad, privacidad y confidencialidad de todo el personal de procesamiento de datos con respecto a los datos personales así como también del incumplimiento de los términos de este APD por parte del personal de procesamiento de datos;

c.    Tomará las medidas razonables para confirmar que todo el personal de procesamiento de datos esté protegiendo la seguridad, la privacidad y la confidencialidad de los datos personales en conformidad con los requisitos de este APD; y

d.    Notificará al responsable del tratamiento de cualquier violación de datos personales por parte del encargado del tratamiento, sus subprocesadores o terceros que actúen en representación del encargado del tratamiento dentro de las 48 horas de haberse enterado de dicha violación de datos personales.

6. AUDITORÍA Y CERTIFICACIÓN

6.1.   Auditoría de la autoridad supervisora. Si la Autoridad Supervisora solicita una auditoría de los establecimientos de procesamiento de datos donde el encargado del tratamiento efectúa el procesamientos de datos personales con el fin de confirmar o monitorear el cumplimiento de los Requisitos de Protección de Datos, el encargado del tratamiento deberá cooperar con dicha auditoría. El cliente es responsable de cualquier coste relacionado con la auditoria, incluidos aquellos costes razonables en que incurra Linkedin como consecuencia de la auditoria. Tal coste es adicional a precio pagado por los servicios prestados por Linkedin.

6.2.   Auditorias. Cuando el responsable del tratamiento lo solicite (sin excederse de una petición por año) mediante email a la dirección DPO@linkedin.com el encargado del tratamiento deberá certificar el cumplimiento con las secciones 5 a 8 de este DPA por correo electrónico). Cada año, el encargado del tratamiento le proporcionará al responsable del tratamiento una opinión o informe del Control de la Organización del Servicio expedido por una empresa auditora acreditada en calidad de tercera parte en conformidad con la Declaración sobre Normas para Trabajos de Atestiguación (en inglés, SSAE) Nº 16 (“SSAE 16”) (informes de controles en organizaciones de servicios) o en conformidad con la Norma Internacional de Garantía de Fiabilidad (en inglés, ISAE) 3402 (“ISAE 3402”) (informes de garantía de fiabilidad al realizar controles en organizaciones de servicios), normas aplicables a los servicios de este Acuerdo. Si a juicio del Cliente el informe no proporciona suficiente información para confirmar el cumplimiento de Linkedin con los términos de este acuerdo el cliente o un una firma de auditoria acreditada acordada entre el Cliente y Linkedin podrá auditar el cumplimiento de Linkedin con los términos de este acuerdo. Tal auditoria se llevara acabo durante horas de trabajo, con preaviso razonable y sujeta a estricta confidencialidad. El cliente es responsable de cualquier coste relacionado con la auditoria, incluidos aquellos costes razonables en que incurra Linkedin como consecuencia de la auditoria. Tal coste es adicional a precio pagado por los servicios prestados por Linkedin. Antes de que se produzca cualquier auditoria el Cliente y Linkedin deberán acordar su alcance, tiempo y duración. El cliente deberá notificar a Linkedin con prontitud en caso de que en le proceso de auditoria descubra la falta de cumplimiento con alguno de los términos de este acuerdo. En nigun caso podrá el cliente auditar a Linkedin mas de una vez al año.

7. TRANSFERENCIA DE DATOS.

Al transferir datos personales de la UE para que sean procesados por LinkedIn en una jurisdicción diferente a la de la UE, al Área Económica Europea (en inglés, EEA) o a los países aprobados por la Comisión Europea que ejerzan una protección de datos “adecuada”, LinkedIn está dispuesto a: a) brindar al menos el mismo nivel de protección de privacidad de datos personales de la UE que exigen las normas de privacidad de EE.UU.-UE y EE.UU.-Suiza; o b) hacer uso de las cláusulas SCC de controlador a procesador disponibles en https://business.linkedin.com/c/15/10/eu-scc. Si la transferencia de datos según la Sección 7 de este APD necesita de las cláusulas SCC para efectuar una transferencia de datos personales legítima, como lo describe la oración anterior, las partes acuerdan que las personas registradas cuyos datos personales de la UE son procesados por parte de una entidad de LinkedIn son terceros beneficiarios de las cláusulas SCC. Si LinkedIn es incapaz o resulta incapacitado para cumplir con estos requisitos, los datos personales de la UE serán procesados y empleados exclusivamente dentro del territorio de un estado miembro de la Unión Europea y cualquier movimiento de datos personales de la UE a países ajenos a la UE necesitará la autorización del cliente por escrito. LinkedIn notificará al cliente de inmediato en caso de no poder cumplir con las disposiciones de esta sección 7.

8. DEVOLUCIÓN Y ELIMINACIÓN DE DATOS.

Las partes acuerdan que al finalizar los servicios de procesamiento de datos o cuando el responsable del tratamiento lo solicite de manera razonable, el encargado del tratamiento -o cualquiera de sus subprocesadores- deberá, cuando el responsable del tratamiento lo solicite, devolverle todos los datos personales y sus copias al responsable del tratamiento o bien destruir dichos datos de manera segura y demostrarle al responsable del tratamiento que, en efecto, tomó dichas medidas, a menos que los Requisitos de Protección de Datos impidan que el encargado del tratamiento devuelva o destruya los datos personales divulgados de manera total o parcial. En ese caso, el encargado del tratamiento está dispuesto a mantener la confidencialidad de los datos personales retenidos  y se compromete a procesar dichos datos personales únicamente después de la fecha con el propósito de cumplir con las leyes aplicables.

9. CONTROLADORES CONJUNTOS.

En caso de que las partes actúen conjuntamente como responsable del tratamiento en lo que respecta a información personal las mismas cooperarán de manera razonable para cumplir con el ejercicio de los derechos de protección de datos conforme al Reglamento General de Protección de Datos y a otros Requisitos de Protección de Datos. Cuando ambas partes actuan como responsable del tratamiento en lo que respecta a información personal y la transferencia de datos entre las partes resulta en una transferencia de datos personales de la UE a una jurisdicción distinta de la UE, la EEA o los países aprobados por la Comisión Europea que ejerzan una protección de datos “adecuada”, cada parte acuerda: a) brindar al menos el mismo nivel de protección de privacidad de datos personales de la UE que exigen las normas de privacidad de EE.UU.-UE y EE.UU.-Suiza; o b) emplear las cláusulas SCC de controlador a controlador, incorporadas a este escrito. Si la transferencia de datos de este APD necesita de las cláusulas SCC de controlador a controlador para efectuar una transferencia de datos personales legítima, como lo describe la oración anterior, las partes están dispuestas a cumplir con los siguientes términos: i) Las personas registradas para las que el cliente procesa datos personales de la UE son terceros beneficiarios según las cláusulas SCC de controlador a controlador; y ii) El Apéndice A de este APD será utilizado como Anexo B de las cláusulas SCC de controlador a controlador. iii) A efectos de la Seccion ii(h) el importador de los datos procesara, a su elección, los datos personales de acuerdo con los puntos relevantes de cualquier  decisión de La Comisión Europea de acuerdo al Artículo 26(6) de la Directiva 95/46/EC donde el importador de los datos cumple con los puntos relevantes de tal autorización o decisión y se encuentra en un país en el cual tal decisión sea aplicable pero no esta cubierto por tal autorización o decisión al efectos de transferencias de datos personales. Las partes reconocen y acuerdan que cada una de ellas actual como responsable del tratamiento en relación con la información personal y que las partes no son controladores conjuntos según la definición del Reglamento General de Proteccion de Datos.  

10. TERCERAS PARTES PROCESADORAS DE DATOS.

El cliente reconoce que para brindar determinados servicios (como servicios ATS y CRM), LinkedIn, a pedido del cliente, podría transferir datos personales del cliente a terceras partes procesadoras de datos e interactuar con ellas. El cliente acepta que en caso de efectuarse dicha transferencia, es responsable de realizar acuerdos separados con las terceras partes procesadoras de datos haciéndolas responsables de cumplir con las obligaciones estipuladas por los Requisitos de Protección de Datos. A modo de aclaración, dichas terceras partes procesadoras de datos no son subprocesadoras.

11. PLAZO.

Este APD seguirá vigente siempre que Linkedin efectúe operaciones de procesamiento de información personal en representación del Cliente o hasta la finalización del Contrato de LinkedIn (y cuando toda información personal haya sido devuelta o eliminada de acuerdo al punto  8 mas arrriba).

12. LEGISLACIÓN VIGENTE.

Sin perjuicio de ninguna disposición del presente Acuerdo, este APD esta sujeto a ley  Irlandesa y los tribunales irlandeses son competentes en relación con cualquier litigio relativo al mismo.

13. PRIORIDAD

Este APD puede ser perfeccionado de manera electrónica en Ingles. Versiones en otros idiomas se facilitan únicamente con propósitos informativos y nos son vinculantes. 

APÉNDICE A

ANEXO B - DESCRIPCIÓN DE LA TRANSFERENCIA

1.    Personas registradas. Los datos personales transferidos pertenecen a las siguientes categorías de personas registradas:

Según los servicios empleados por el exportador de datos:

·       Candidatos y empleados reales y potenciales del exportador de datos;

·       Clientes potenciales de comercialización y ventas del exportador de datos; y

·       Terceros que tengan o puedan tener una relación comercial con el exportador de datos (por ejemplo, publicitarios, clientes, suscriptores corporativos y contratistas).

2.    Propósitos de la transferencia. Se realiza la transferencia con los siguientes propósitos:

La transferencia debería permitirle al importador de datos determinar los propósitos y métodos del procesamiento de datos personales obtenidos a través de los productos del exportador de datos para respaldar las ventas, el reclutamiento, la comercialización, la educación y demás prácticas comerciales del exportador de datos.

3.    Categorías de datos. Los datos personales transferidos pertenecen a las siguientes categorías de datos:

Los datos transferidos son los datos personales que el exportador de datos le facilita al importador de datos en relación al empleo de los servicios en línea de reclutamiento, ventas, comercialización y/o aprendizaje de LinkedIn Irlanda que en el Acuerdo de Suscripción de LinkedIn figuran como Datos Personales del Cliente. Dichos datos personales pueden abarcar: nombre de pila, apellido, correo electrónico, información de contacto, antecedentes educativos y laborales en curriculums, datos de CRM que incluyan clientes potenciales y listas de clientes, y notas que el exportador de datos haya expedido en relación a lo antedicho.

4.    Receptores. Los datos personales transferidos pueden ser divulgados únicamente a los siguientes receptores o categorías de receptores:

Empleados y demás representantes del importador de datos que justifiquen el procesamiento de dichos datos personales con un propósito comercial legítimo.

5.    Datos sensibles (si corresponde). Los datos personales transferidos pertenecen a las siguientes categorías de datos sensibles:

Ninguna.

6.    Información de registro de protección de datos del exportador de datos (si corresponde).

Ninguna.

7.    Información útil adicional (límites de almacenamiento y demás información relevante).

Los datos personales transferidos entre las partes sólo podrán ser retenidos por el plazo que permita el Acuerdo. Las partes están de acuerdo en que cada una de ellas, en el caso de desempeñarse con la otra parte como responsable del tratamiento en lo que respecta a la información personal, cooperará de manera razonable con la otra parte para dar lugar al ejercicio de los derechos de protección de datos personales establecidos la normativa relevante protección de datos.

8.    Requisitos. Puntos de contacto para consultas de protección de datos:

Importador de datos: Signatario del Acuerdo entre las partes.

Exportador de datos: Signatario del Acuerdo entre las partes.

LinkedIn Confidential and Proprietary

Last Updated: March 13, 2018