1. Partes
-
The Digital PO Box - Marca registrada de The Bizz Hub LLC-FZ, oficina en The Meydan Grandstand, 6to piso, Meydan Road, Nad Al Sheba, Dubái, E.A.U., registrada bajo el número 2536783.01. En adelante denominado: "Procesador".
- Controlador - La persona física o jurídica que celebra un acuerdo con el Procesador para (entre otras cosas) el procesamiento de correo y hace uso del servicio de escaneo para este propósito. En adelante denominado: "Controlador".
- El Controlador y el Procesador se denominan en adelante colectivamente como las "Partes".
Este Acuerdo se aplica independientemente de si el Cliente (Controlador) actúa a título personal o empresarial.
Este Acuerdo de Procesamiento de Datos se aplica exclusivamente al escaneo y digitalización de artículos de correo que contengan datos personales. Para todas las demás categorías de datos personales procesados por TBH (incluyendo datos de cuenta, datos de facturación y datos de comunicación), TBH actúa como un controlador de datos independiente tal como se describe en su Declaración de Privacidad.
5. Obligaciones del procesador
El Procesador garantiza las siguientes obligaciones de acuerdo con el Artículo 28 del RGPD:
5.1 Confidencialidad
- El Procesador y sus empleados afiliados (y cualquier subprocesador) tratarán confidencialmente los datos personales de los que tengan conocimiento.
- Este deber de confidencialidad también continuará aplicándose después de la terminación de este Acuerdo de Procesamiento de Datos.
5.2 Medidas de seguridad adecuadas
- El Procesador tomará las medidas de seguridad técnicas y organizativas adecuadas para proteger los datos personales contra el procesamiento no autorizado o ilegal y contra la pérdida accidental, destrucción o daño.
- Las medidas técnicas incluyen, por ejemplo, firewalls, escáneres de virus, contraseñas seguras y (donde sea relevante) cifrado según las normas ISO 27001 e ISO 27701. Las medidas organizativas incluyen restricciones de acceso, selección de personal y cierre de áreas donde se procesan datos.
- Las medidas de seguridad están al menos de acuerdo con los requisitos del Artículo 32 del RGPD y son adecuadas a la naturaleza de los datos procesados (esto puede variar por artículo postal).
5.3 Procesamiento dentro de la UE/EEE
- El Procesador no permitirá que el procesamiento de datos personales tenga lugar fuera del Espacio Económico Europeo (EEE) a menos que dicha transferencia esté cubierta por salvaguardas apropiadas, incluidas las Cláusulas Contractuales Estándar de la UE (SCCs) o mecanismos equivalentes que aseguren un nivel adecuado de protección, o cuando la ley lo requiera.
- Para transferencias al Reino Unido o a los Emiratos Árabes Unidos, el Procesador aplica las mismas salvaguardas contractuales, técnicas y organizativas que se describen en la Declaración de Privacidad de TDPB.
5.4 No Procesamiento Adicional
- El Procesador solo procesará los datos personales de acuerdo con las instrucciones del Controlador. El uso para otros fines (por ejemplo, marketing propio) no está permitido.
5.5 Asistencia en el cumplimiento de obligaciones
- En la medida en que sea razonablemente posible, el Procesador asistirá al Controlador en el cumplimiento de las obligaciones bajo el RGPD, como manejar solicitudes de los interesados o realizar evaluaciones de impacto de protección de datos (DPIA).
5.6 Provisión de información y auditoría
- Proporcionar información
El Procesador deberá, ante la primera solicitud y en la medida en que sea razonablemente necesario, proporcionar al Controlador toda la información necesaria para demostrar el cumplimiento de las Obligaciones bajo este Acuerdo de Procesamiento de Datos y el RGPD.
- Soporte de cumplimiento
Si el Controlador tiene razones fundamentadas para hacerlo (por ejemplo, verificación periódica o sospecha de irregularidades), el Procesador cooperará con auditorías o inspecciones, incluyendo (cuando sea apropiado) la provisión de documentación técnica o informes.
- Condiciones de auditoría
El Controlador anunciará una auditoría o inspección prevista por escrito con al menos 30 días hábiles de antelación, con una descripción clara del alcance y propósito, para que el Procesador pueda prepararse y la continuidad del servicio no se vea innecesariamente comprometida.
- Las auditorías no afectarán la confidencialidad de otros Controladores ni la seguridad de los sistemas que también contengan datos de terceros. El Controlador acepta que la auditoría pueda ser llevada a cabo por un tercero independiente, bajo confidencialidad, con el fin de proteger la privacidad de otros Controladores.
- Los costos de una auditoría, incluyendo horas-hombre del Procesador, serán asumidos por el Controlador, a menos que se establezca que el Procesador está actuando en violación de este Acuerdo de Procesamiento de Datos o el RGPD, en cuyo caso el Procesador asumirá los costos razonables de auditoría.
- Resultados y mejoras
El Procesador informará al Controlador de los hallazgos relevantes de una auditoría o inspección y, si corresponde, propondrá o implementará medidas de mejora para continuar garantizando el cumplimiento de este Acuerdo de Procesamiento de Datos y el RGPD.
5.7 Procesamiento por Sistemas de IA
- Alcance del uso de IA: El Procesador puede utilizar sistemas de IA (incluido OpenAI) únicamente para apoyar la comunicación con el cliente y la mejora del servicio interno. Las herramientas de IA no se utilizan en el procesamiento de artículos de correo ni de ningún dato personal proporcionado por el Controlador.
- No procesamiento de datos del Controlador: Los sistemas de IA no reciben ni procesan datos personales que se originen de los artículos de correo del Controlador, escaneos, instrucciones de reenvío o cualquier otro dato procesado bajo este Acuerdo.
- Anonimización: Solo datos de conversación anonimizados o seudonimizados—no relacionados con personas físicas identificadas o identificables—pueden ser procesados utilizando sistemas de IA. Dichos datos no pueden atribuirse al Controlador ni a ningún interesado.
- Obligaciones del subprocesador: OpenAI actúa como un subprocesador técnico. El Procesador asegura que OpenAI esté contractualmente obligado a la confidencialidad, requisitos de seguridad de datos y las restricciones establecidas en este Acuerdo.
- No toma de decisiones automatizada: Los sistemas de IA no se utilizan para tomar decisiones que produzcan efectos legales o impactos similarmente significativos en los interesados dentro del significado del Artículo 22 del RGPD, RGPD del Reino Unido o PDPL de los EAU.
- Salvaguardas técnicas: El Procesador mantendrá medidas que impidan que cualquier dato personal identificable sea transmitido a sistemas de IA, y asegurará que todo el procesamiento de IA permanezca estrictamente separado de los datos del Controlador.
Este Artículo se aplica a todas las operaciones asistidas por IA llevadas a cabo por el Procesador y forma parte de las medidas técnicas y organizativas requeridas bajo el Artículo 28 del RGPD.
Salvaguardas apropiadas, incluidas, entre otras, las Cláusulas Contractuales Estándar de la UE y mecanismos equivalentes de transferencia del Reino Unido y los EAU, se aplican a cualquier procesamiento realizado por OpenAI.