Addenda de Procesamiento de Datos de RingCentral

El presente Addenda de Procesamiento de Datos (“DPA”) se realiza por y entre RingCentral y el Cliente (cada uno de ellos una “Parte”, juntos las “Partes”), y es complementario al contrato ejecutado entre las Partes al que se adjunta (“Contrato”) para la prestación de los Servicios (como se define a continuación) al Cliente.

Los términos en mayúsculas utilizados pero no definidos en este DPA tienen el mismo significado que el establecido en el Contrato.

1.    Definiciones
1.1     A los efectos de la presente DPA:
        (a)    "Afiliada" significa una persona o entidad que está controlada por una de las Partes del presente documento, controla una de las Partes del presente documento o está bajo el control común de una de las Partes del presente documento, y “control” significa la propiedad efectiva de más del cincuenta por ciento (50%) de los valores con derecho a voto o de las participaciones de una entidad en ese momento.
        (b)    "Contrato" significa el contrato principal escrito o electrónico entre el Cliente y RingCentral para la prestación de cualquiera de los servicios de RingCentral al Cliente. 
        (c)    "Ley(es) de Protección de Datos Aplicable(s)" se refiere a todas las leyes de protección de datos y privacidad aplicables a RingCentral en el tratamiento de los Datos Personales en virtud de este DPA.
        (d)    "Responsable del Tratamiento": la entidad que, sola o conjuntamente con otras, determina los fines y los medios del tratamiento de los Datos Personales. 
        (e)    "Datos Personales del Cliente"  significa cualquier dato personal que RingCentral procese como Encargado del Tratamiento en virtud del Contrato.
        (f)    "Datos Personales": cualquier información relativa a una persona física identificada o identificable, tal y como se define en la Ley de Protección de Datos Aplicable.
        (g)    "Encargado del Tratamiento" es la entidad que trata los Datos Personales por cuenta del Responsable del Tratamiento.
        (h)    "Incidente de Seguridad" significa una violación de la seguridad que conduzca a cualquier destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos Personales del Cliente que comprometa la privacidad, seguridad o confidencialidad de dichos Datos Personales. 
        (i)    "Servicios" se refiere a los servicios de RingCentral descritos en el Anexo A.
 
2.    Ámbito de aplicación de la DPA
2.1    Esta DPA se aplicará en la medida en que RingCentral procese Datos Personales del Cliente en nombre de un Cliente como Encargado del Tratamiento, tal y como se define en la Ley de Protección de Datos Aplicable donde dicho procesamiento se describa con más detalle en el Anexo A. Cualquier tratamiento de Datos Personales como Responsable del Tratamiento por parte de RingCentral queda fuera del ámbito de aplicación de la presente DPA.
 
3.    Funciones y responsabilidades
3.1    Funciones de las Partes. Entre las Partes y a los efectos de este DPA, el Cliente será el Responsable de los Datos Personales del Cliente tratados por RingCentral en virtud del Contrato como Encargado del Tratamiento en nombre del Cliente. RingCentral cumplirá con las obligaciones de un Responsable del tratamiento bajo las Leyes de Protección de Datos Aplicables en la medida en que trate los Datos Personales como Responsable del Tratamiento para los fines comerciales legítimos de RingCentral, incluidos los necesarios para el funcionamiento de los Servicios Ofrecidos, y los necesarios para cumplir con la legislación aplicable.
 
3.2    Obligaciones del Cliente. El Cliente se compromete a:
        (a)    Garantizar que puede revelar legalmente los Datos Personales del Cliente a RingCentral para los fines establecidos en el Contrato;
        (b)    Cumplir con las Leyes de Protección de Datos Aplicables en su uso de los Servicios, y su propia recopilación y tratamiento de Datos Personales, incluidos los Datos Personales del Cliente. El Cliente reconoce y confirma que ha informado a sus empleados (actuales y futuros) y a sus representantes del personal o comité de empresa, según corresponda, que como parte de los Servicios el Cliente tiene acceso a los datos de tráfico; y
        (c)    Tratar categorías especiales de Datos Personales o datos sensibles (tal y como se definen en las Leyes de Protección de Datos Aplicables), o Datos Personales relativos a niños o menores, o relacionados con condenas e infracciones penales, de forma lícita y apoyándose en una base legal válida de acuerdo con las Leyes de Protección de Datos Aplicables. Las Partes reconocen que los Servicios no están diseñados para reconocer y/o clasificar dichos datos.
 
3.3    Limitación de la Finalidad
        (a)    Salvo que la legislación aplicable exija lo contrario, RingCentral tratará los Datos personales del Cliente (i) de acuerdo con las instrucciones documentadas del Cliente (que se recogen en el Contrato, en esta DPA y en la configuración y el uso de los Servicios por parte del Cliente, de acuerdo con las condiciones de uso aplicables), (ii) con el fin de proporcionar, supervisar, apoyar, mejorar y mantener los Servicios.
        (b)    RingCentral no se dedicará a la venta de Datos Personales.
 
3.4    Confidencialidad del Tratamiento. RingCentral se asegurará de que cualquier persona que autorice a tratar los Datos Personales del Cliente esté sujeta a un deber de confidencialidad (ya sea un deber contractual o legal).
 
3.5    Seguridad. RingCentral mantendrá las medidas de seguridad técnicas y organizativas adecuadas para salvaguardar la seguridad de los Datos Personales del Cliente. RingCentral mantendrá un programa de seguridad de la información y de gestión de riesgos basado en las mejores prácticas comerciales para preservar la confidencialidad, integridad y accesibilidad de los Datos Personales del Cliente con medidas administrativas, técnicas y físicas que se ajusten a las normas y prácticas generalmente reconocidas del sector de telecomunicaciones. Las medidas de seguridad de RingCentral se establecen en la Adenda de Seguridad de RingCentral en https://netstorage.ringcentral.com/documents/trust-center-security-addendum.pdf.
 
3.6    Incidentes de Seguridad. Al tener conocimiento de un Incidente de Seguridad, RingCentral notificará al Cliente sin demora indebida a la información de contacto que el Cliente haya proporcionado en el Portal Administrativo y proporcionará la información oportuna que el Cliente pueda requerir razonablemente, incluso para permitir al Cliente cumplir con cualquier obligación de notificación de violación de datos en virtud de las Leyes de Protección de Datos Aplicables.
 
3.7    Suministro de Informes de Seguridad. RingCentral seleccionará un auditor externo independiente y cualificado para llevar a cabo, a cargo de RingCentral, auditorías como mínimo anuales de la seguridad de los Servicios y entornos, de acuerdo con normas reconocidas internacionalmente como ISO27001, las normas SOC 2, Tipo II o su equivalente. A petición del Cliente y en virtud de un Acuerdo de Confidencialidad, RingCentral proporcionará una copia de los informes de auditoría más recientes (o una certificación de seguridad similar) para documentar el cumplimiento del requisito anterior, cuando dicha certificación esté disponible. Dicho informe de auditoría es Información Confidencial de RingCentral y el Cliente no lo distribuirá a ningún tercero sin la aprobación por escrito de RingCentral.
 
3.8    Eliminación o Devolución de Datos. Tras la finalización o el vencimiento del Contrato, RingCentral eliminará los Datos Personales del Cliente (incluidas las copias) en posesión de RingCentral o, a petición del Cliente, proporcionará opciones para devolver los Datos Personales al Cliente, salvo en la medida en que RingCentral esté obligado por la legislación aplicable a conservar algunos o todos los Datos Personales del Cliente.
 
4.    Obligaciones de tratamiento de datos
4.1    Subencargados. El Cliente acepta que RingCentral y sus Afiliados puedan contratar a Afiliados de RingCentral y otros terceros subencargados (colectivamente, “Subencargados”) para el tratamiento de los Datos Personales del Cliente en nombre de RingCentral. Dependiendo del alcance y la naturaleza del tratamiento, RingCentral impondrá condiciones de protección de datos a dichos Subencargados que protejan los Datos Personales del Cliente a un nivel equivalente al previsto en este DPA y seguirá siendo responsable de cualquier incumplimiento del DPA causado por un Subencargado. Los Subencargados del tratamiento contratados por RingCentral con respecto a cada uno de los Servicios en el momento del Contrato se indican en la lista de Subencargados de RingCentral disponible en https://www.ringcentral.com/legal/dpa-subprocessor-list.html o según lo especificado en el Contrato.
 
4.2    Notificación de Subencargados. RingCentral podrá, mediante notificación razonable al Cliente al contacto que éste haya proporcionado en el Portal Administrativo, añadir o reemplazar los Subencargados. Si el Cliente se opone a la designación de un Subencargado adicional en un plazo de treinta (30) días naturales a partir de dicha notificación por motivos razonables relacionados con la protección de los Datos Personales del Cliente, entonces las partes discutirán dichas preocupaciones con vistas a lograr una resolución. Si no se puede alcanzar dicha resolución, entonces RingCentral no designará al Subencargado o, si esto no es posible, el Cliente tendrá derecho a suspender o cancelar el Servicio de RingCentral afectado sin sufrir ninguna penalidad mediante una notificación previa por escrito de treinta (30) días a RingCentral. No obstante lo anterior, en caso de fuerza mayor imprevisible (como un fallo del Subencargado de RingCentral) que pueda provocar una degradación o interrupción del Servicio, RingCentral se reserva el derecho a cambiar inmediatamente el Subencargado que falle para mantener o restablecer las condiciones estándar del Servicio. En esta situación, la notificación del cambio de Subencargado podrá enviarse excepcionalmente después del cambio.
 
4.3    Cooperación y Derechos de los Interesados. Es responsabilidad del Cliente responder a cualquier solicitud del interesado. Algunos de los Servicios de RingCentral pueden proporcionar medios técnicos directos para permitir al Cliente cumplir con sus obligaciones de responder a las solicitudes de los interesados en virtud de las Leyes de Protección de Datos Aplicables. Si el Cliente no puede atender la solicitud del interesado a través de dichos medios técnicos, o cuando dicha funcionalidad no esté disponible, RingCentral, teniendo en cuenta la naturaleza del tratamiento, proporcionará una asistencia razonable al Cliente, para permitirle responder a dichas solicitudes del interesado. En el caso de que dicha solicitud se realice directamente a RingCentral, RingCentral dirigirá sin demora al interesado para que se ponga en contacto con el Cliente.
 
4.4    Evaluaciones del Impacto de la Protección de Datos. RingCentral deberá, en la medida requerida por las Leyes de Protección de Datos Aplicables, y a petición del Cliente y a expensas del Cliente, proporcionar al Cliente asistencia razonable con las evaluaciones de impacto de protección de datos o consultas previas con las autoridades de protección de datos que el Cliente está obligado a llevar a cabo bajo las Leyes de Protección de Datos Aplicables en relación con el alcance de los Servicios.
 
4.5    Transferencias Internacionales. RingCentral podrá transferir y procesar los Datos Personales del Cliente fuera del Espacio Económico Europeo (“EEE”), Suiza o el Reino Unido, de acuerdo con la lista de Subpencargados aplicable, a lugares donde RingCentral, sus Afiliados o sus Subencargados mantienen operaciones de tratamiento de datos.
        (a)    Marco de privacidad de datos. RingCentral cumple y ha certificado al Departamento de Comercio de EE.UU. su adhesión al Marco de privacidad de datos UE-EE.UU. (DPF UE-EE.UU.), la Extensión del Reino Unido al DPF UE-EE.UU. y el Marco de privacidad de datos Suiza-EE.UU. (DPF Suiza-EE.UU.). El Aviso de certificación de RingCentral se aplica a los Servicios.
        (b)    Cláusulas contractuales estándar. En la medida en que RingCentral trate (o haga tratar) cualquier Dato Personal del Cliente procedente del EEE, Suiza o el Reino Unido en un país que no haya sido reconocido por la Comisión Europea como proveedor de un nivel adecuado de protección de los Datos Personales del Cliente, RingCentral cumplirá con las Leyes de Protección de Datos Aplicables del Espacio Económico Europeo, Suiza y el Reino Unido en relación con la recopilación, el uso transferencia, retención y otro tipo de tratamiento de Datos Personales del Cliente del Espacio Económico Europeo, Suiza y el Reino Unido, y pondrá en marcha las medidas necesarias para garantizar que la transferencia cumpla con las leyes de protección de datos aplicables, que incluyen la ejecución de las cláusulas contractuales estándar de la Comisión Europea, o la puesta en marcha de cualquier otro mecanismo de transferencia válido en virtud de las Leyes de Protección de Datos Aplicables.
 
4.6    Auditorías. 
        (a)    Ambas partes reconocen que la intención de las partes es basarse normalmente en el suministro de los informes de seguridad de la sección 3.7 anterior para verificar el cumplimiento de RingCentral con este DPA.
        (b)    Además, a petición del Cliente, pero no más de una vez durante cada período de 12 meses, RingCentral completará un cuestionario del programa de seguridad de la información proporcionado por el Cliente, limitado en su alcance a los servicios/entornos reales relacionados con los Servicios prestados al Cliente (“Revisión de la Seguridad”).
        (c)   Después de la revisión por parte del Cliente del informe de auditoría de RingCentral o de una certificación similar, y del cuestionario de seguridad de la información completado (incluyendo cualquier cambio introducido por RingCentral para abordar cualquier laguna), si, en la medida en que lo requieran las Leyes de Protección de Datos Aplicables, es razonablemente necesaria información adicional para demostrar el cumplimiento de las obligaciones de RingCentral de acuerdo con las Leyes de Protección de Datos Aplicables y este DPA, El Cliente podrá solicitar por escrito la realización de una auditoría (incluidas las inspecciones) de RingCentral de acuerdo con el procedimiento de solicitud de auditoría que se indica a continuación, no más de una vez cada período de doce (12) meses, a menos que una autoridad de supervisión exija específicamente que se realice una auditoría de RingCentral o en respuesta a un Incidente de Seguridad.
        (d)    Para ejercer su derecho a la auditoría de acuerdo con esta sección, el Cliente debe proporcionar a RingCentral una solicitud escrita y detallada, que incluya la explicación de las lagunas en los informes de auditoría proporcionados por RingCentral y en la Revisión de la Seguridad que hacen necesaria la auditoría para demostrar el cumplimiento de RingCentral con este DPA o con las Leyes de Protección de Datos Aplicables
        (e)    La auditoría podrá ser realizada por el Cliente o por un auditor externo (cualquier tercero bajo estrictas obligaciones de confidencialidad, incluidos los requisitos de que los auditores individuales designados no hayan realizado auditorías de ninguno de los competidores de RingCentral en los doce (12) meses anteriores y que se les prohíba realizar dichas auditorías en los doce (12) meses siguientes a la auditoría de RingCentral) únicamente a expensas del Cliente. RingCentral puede objetar por escrito a cualquier auditor de terceros si el auditor, en opinión razonable de RingCentral, no es adecuadamente calificado o independiente, es un competidor de RingCentral, o de otra manera es manifiestamente inadecuado. Cualquier objeción de este tipo por parte de RingCentral obligará al Cliente a designar a otro auditor o a realizar la auditoría él mismo.
        (f)    RingCentral y el Cliente acordarán de antemano el alcance y el calendario de la auditoría, para proteger la información confidencial y propietaria de RingCentral y de otras partes, para minimizar la interrupción del negocio de RingCentral, para limitar el alcance a los servicios/entornos reales relacionados con los Servicios prestados al Cliente, y para acordar una duración razonable de la auditoría.
        (g)   La realización de la auditoría se llevará a cabo durante el horario laboral habitual del personal de RingCentral implicado y las partes acuerdan que RingCentral pondrá a disposición el material para que el Cliente lo revise, pero no para que lo conserve. RingCentral podrá cobrar honorarios razonables por los costes incurridos en relación con cualquier auditoría basada en las tarifas de servicios profesionales de RingCentral, a menos que la auditoría muestre un incumplimiento material por parte de RingCentral. RingCentral proporcionará al Cliente los detalles de cualquier tarifa aplicable, y la base de su cálculo, antes de cualquier auditoría.
        (h)    Toda la información proporcionada o puesta a disposición del Cliente en virtud de esta sección se considerará información confidencial de RingCentral.
 
4.7   Solicitudes de Divulgación de Datos. Si RingCentral recibe una solicitud de una autoridad policial o gubernamental para revelar Datos Personales del Cliente que RingCentral está tratando en nombre del Cliente, RingCentral notificará y proporcionará al Cliente los detalles de la solicitud de divulgación de datos antes de revelar cualquier Dato Personal del Cliente, a menos que esté legalmente prohibido o cuando exista un riesgo inminente de daño grave que prohíba la notificación previa.
 
5.    Varios
5.1    A menos que se indique explícitamente lo contrario, los términos y condiciones del Contrato se aplicarán al DPA. En caso de conflicto entre los términos del Contrato y los del presente DPA, prevalecerán los términos del presente DPA en lo que respecta a las actividades de RingCentral para el tratamiento de los Datos Personales del Cliente.
 
5.2    La ley aplicable y el foro que se aplican al Contrato también se aplican a este DPA.
 
          Información de contacto para consultas sobre privacidad: privacy@RingCentral.com.

 

Anexo A

DESCRIPCIÓN DEL TRATAMIENTO

RingCentral es un proveedor de:

  • servicios de comunicación y colaboración basados en la nube para voz de alta definición, vídeo, SMS, mensajería y colaboración por chat, conferencias, reuniones en línea y fax;

  • una plataforma de gestión de la comunicación con el cliente omnicanal que unifica todos los canales de comunicación de cara al cliente, incluidos los de voz, correo electrónico, SMS, sitio web, aplicación móvil, chat y comunicaciones en redes sociales, en una única plataforma, lo que permite dar respuestas comunitarias a las consultas de atención al cliente;

  • Eventos virtuales y servicios de presentación;

  • Servicios profesionales.

en lo sucesivo (los “Servicios”).

Los servicios pueden incluir cuadros de mando que proporcionen diversas métricas y perspectivas sobre las comunicaciones de los clientes, algunas de las cuales se basan en una plataforma de inteligencia de conversación que utiliza inteligencia artificial. 

 

El tratamiento de datos afecta a las siguientes categorías de interesados:

  • Los empleados y usuarios autorizados del Cliente que utilizan los Servicios en relación con el negocio del Cliente.

  • Cualquier otra persona física que participe o se refiera al contenido de las comunicaciones o colaboraciones que tengan lugar a través del uso de los Servicios por parte del Cliente.

 

Las categorías de Datos Personales del Cliente tratadas incluyen:

  • Información de identificación del administrador del Cliente, información de contacto, como la dirección, el número de teléfono (fijo y móvil), la dirección de correo electrónico y el número de fax, información de empleo, como el cargo y la función empresarial.

  • Información de identificación de cualquier persona, incluidos los empleados del Cliente, que utilice los Servicios a petición del Cliente y en relación con su negocio, incluidos el número de teléfono (fijo y móvil) y la dirección de correo electrónico.

  • Registros de detalles de llamadas, incluidos los números de la parte que llama y de la parte que recibe, la fecha y la hora de inicio de la llamada, la duración de la llamada.

  • Para servicios como RingCentral Contact Center, RingCentral Engage Digital y/o RingCentral Engage Voice, y RingCentral Engage Digital Communities:

    • Información de identificación de los usuarios finales, como nombre completo, sexo, información de contacto (dirección, número de teléfono (fijo y móvil), dirección de correo electrónico, número de fax), información de empleo (cargo) y nombre de la empresa.

    • Información de identificación de los empleados o usuarios autorizados del Cliente u otros terceros colaboradores, incluyendo el nombre y la dirección de correo electrónico.

    • Contenido publicado en los canales de comunicación conectados a los Servicios, incluida la información pública en los canales de medios sociales conectados al Servicio.

    • Contenido publicado en el espacio para compartir en línea, incluyendo cualquier publicación pública y mensajes privados.

  • Cualquier otro Dato Personal del Cliente que el Cliente, sus usuarios autorizados o terceros implicados en las comunicaciones decidan, a su entera discreción, incluir en el contenido de las comunicaciones que se envían y reciben utilizando los Servicios.

  • Cualquier otro Dato Personal del Cliente que pueda ser necesario para que RingCentral preste los Servicios descritos en el Contrato.

 

Categorías especiales de datos personales del cliente

Los Servicios no están diseñados para reconocer y/o clasificar datos como categorías especiales de datos o datos sensibles (tal y como se definen en Leyes de Protección de Datos Aplicables), ni como Datos Personales relativos a niños o menores, o relacionados con condenas e infracciones penales. En la medida en que el Cliente procesa categorías especiales de Datos Personales, el Cliente se compromete a procesar esta categoría de Datos Personales legalmente, y en particular a basarse en una base legal válida de acuerdo con las Leyes de Protección de Datos Aplicables.

 

Operaciones de tratamiento

RingCentral trata los Datos Personales del Cliente con el fin de proporcionar y mantener los Servicios a los que se ha suscrito el Cliente, incluidos los Servicios auxiliares o relacionados en el ámbito del Acuerdo, con el fin de publicar contenido en canales de comunicación públicos/privados, para la gestión de la relación con el cliente, la gestión de usuarios y la asistencia al cliente. RingCentral publica el contenido de los usuarios autorizados en los canales de comunicación públicos o privados conectados a su plataforma y sincroniza el contenido del usuario final de los mismos canales. RingCentral almacena y muestra la información del Cliente y el historial de conversaciones a los usuarios autorizados. 

Los Datos Personales del Cliente se procesarán durante la vigencia del Acuerdo, o según lo exija la ley o lo acuerden las partes.