ACUERDO DE PROTECCIÓN DE DATOS DE CRITEO
ACUERDO DE PROTECCIÓN DE DATOS DE CRITEO
PREÁMBULO
El presente Acuerdo de Protección de Datos de Criteo (en adelante, el “APD”) complementa las Condiciones Generales de Servicio de Criteo (en adelante, las “Condiciones”) y las Condiciones Específicas de Servicio de Criteo (en adelante, las “Condiciones Específicas”) pertinentes o cualquier otro acuerdo aplicable con el Cliente (colectivamente, el “Acuerdo”), incorporándose al Acuerdo entre Criteo y el Cliente para la prestación de los correspondientes Servicios de Criteo.
Este APD describe las obligaciones de protección y seguridad de las Partes con respecto a cualquier tratamiento de datos personales realizado en relación con la prestación de los Servicios de Criteo pertinentes, incluido el tratamiento de Datos de servicio si, y únicamente en la medida en que, dichos datos contienen datos personales, de acuerdo con los requisitos de la Ley de protección de datos.
Este APD está organizado en torno a las siguientes secciones:
• Sección I: Condiciones comunes
o La Sección I se aplica cuando el Cliente ha solicitado Servicios a Criteo, independientemente del tipo de Servicios solicitados.
• Sección II: Condiciones de corresponsables del tratamiento
o La Sección II se aplica cuando el Cliente ha solicitado Servicios en los que Criteo y el Cliente actúan como Corresponsables del tratamiento según lo establecido en las Condiciones Específicas pertinentes (los “Servicios de Corresponsable del tratamiento”).
La Sección I de este APD siempre se aplica a las Partes. La aplicación de la Sección II dependerá del estado bajo el cual Criteo opere y que se especifique en las Condiciones Específicas o en cualquier otro acuerdo aplicable al Servicio solicitado por el Cliente.
Sección I: Condiciones comunes
1 Definiciones
A menos que se indique lo contrario en el presente documento, se aplican a este APD las definiciones establecidas en el Acuerdo. También se aplicarán a este APD las definiciones adicionales establecidas a continuación.
“Consentimiento” | se refiere a cualquier indicación libremente dada, específica, informada e inequívoca de los deseos del Interesado mediante la cual, a través de una declaración o una acción afirmativa clara, denota que está de acuerdo con el Tratamiento de Datos personales relacionados con él o ella. |
“Responsable del tratamiento” | se refiere a la persona física o jurídica, autoridad pública, agencia u otro organismo que, sola o conjuntamente con otras, determina los fines y medios del Tratamiento de Datos personales. En virtud de la Sección II de este APD, Criteo S.A., como sociedad matriz del Grupo Criteo, y el Cliente actúan como Corresponsables del tratamiento. El término “Responsable del tratamiento” se considera “Negocio”, tal y como se define en la CPPA |
“Ley de protección de datos” | Significa todas las leyes y reglamentos presentes y futuros relativos al Tratamiento de Datos Personales y privacidad, incluyendo sin limitación (a) el Reglamento General de Protección de Datos de la Unión Europea (“RGPD UE”), (b) la Ley de Protección de Datos ▇▇▇ ▇▇▇▇▇ Unido de 2018 y el RGPD (“RGPD ▇▇▇ ▇▇▇▇▇ Unido”), (c) la Ley de Privacidad del Consumidor de California (“CCPA”), modificada por la Ley de Derechos de Privacidad de California de 2020 , (d) la Ley de Privacidad del Consumidor en Virginia (“VCDPA”), (e) la Ley de Privacidad de Colorado, (f) la Ley de Privacidad de Connecticut (“CTDPA”), (g) la Ley de Privacidad del Consumidor de Utah (“UCPA”), (h) la Ley de Privacidad del Consumidor de Oregón (“OCPA”), la Ley de Privacidad y Seguridad de Datos de Texas (“TDPSA”), (j) la Ley de Privacidad del Consumidor de Montana (“MTCDPA”), (k) la Ley de Privacidad de Datos Personales de Delaware, (i) la Ley de Protección de Datos del Consumidor de Iowa, (m) la Ley de Privacidad de Datos de Nebraska, (n) la Ley de Privacidad de Datos de New Hampshire, (o) la Ley de Privacidad de Datos de Nueva Jersey, (p) la Ley de Protección de la Información Personal de Corea del Sur (Ley nº 10465 de 29 ▇▇ ▇▇▇▇▇ de 2011), junto con cualquier normativa que las modifique o sustituya en cada momento. Para mayor claridad, Ley |
de Protección de Datos también incluye todos los requisitos legalmente vinculantes emitidos por las autoridades de protección de datos competentes i) que rigen el tratamiento y la seguridad de la información relacionada con las personas y proporcionan normas para la protección de los derechos y libertades de dichas personas con respecto al tratamiento de los datos relacionados con ellas, ii) que especifican las normas para la protección de la privacidad en relación con el tratamiento de datos y las comunicaciones electrónicas, o iii) que promulgan derechos para personas que sean exigibles para las organizaciones con respecto al tratamiento de sus datos personales, incluidos los derechos de acceso, rectificación y supresión. Cualquier Ley de Protección de Datos listada aquí aplica únicamente al Cliente en la medida que así se establezca según los criterios de cada regulación. | |
“Interesado(s)” | se refiere a una persona física identificable que puede ser identificada, directa o indirectamente, en particular mediante referencia a un identificador (por ejemplo, un nombre, un número de identificación, datos de ubicación, un identificador en línea) o a uno o más factores específicos de esa persona física. A |
“Corresponsable del tratamiento” | parte de la prestación de los Servicios de Criteo pertinentes. se refiere a un Responsable del tratamiento que actúa conjuntamente con otro u otros. En virtud de la Sección II de este APD, Criteo y el Cliente actúan como corresponsables del tratamiento. |
“Datos personales” | se refiere a cualquier información que identifique, se relacione, describa o pueda asociarse, o pueda vincularse razonablemente, con una persona física o un domicilio identificados o identificables tratados en relación con la prestación de los Servicios de Criteo pertinentes. |
“Violación de la seguridad de los Datos personales” | se refiere a una infracción de la seguridad que conduce a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a Datos personales transmitidos, almacenados o tratados, en general. |
“Encargado del tratamiento” | se refiere a una persona física o jurídica, autoridad pública, agencia u otro organismo que trata Datos personales en nombre del Responsable del tratamiento. Encargado de Tratamiento incluye el concepto “Proveedor de Servicios” tal y como se define por la CCPA. |
“Tratamiento” | se refiere a cualquier operación o conjunto de operaciones que se realice en Datos personales o en conjuntos de Datos personales, ya sea por medios automatizados o no, como la recogida, el registro, la organización, estructuración, conservación, adaptación o alteración, recuperación, consulta, el uso, la comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, el cotejo o la combinación, limitación, supresión o destrucción. |
“Autoridad reguladora” | se refiere al poder público u organismo gubernamental aplicable responsable de supervisar el cumplimiento de la Ley de protección de datos, incluyendo sin limitación: la Comisión Nacional de la Informática y las Libertades ▇▇ ▇▇▇▇▇▇▇ – CNIL – (la autoridad reguladora de Criteo); la Oficina del Comisionado de Información del Reino Unido; la Agencia de Protección de la Privacidad de California; o también los procuradores generales del estado de EE. UU. |
efectos de este APD, “Interesado” se refiere a las personas físicas cuyos Datos personales se tratan como
Los términos “Business”, “Fines comerciales”, “Venta”y “Compartir” tendrán el mismo significado que en la Ley de protección de datos aplicable, y sus términos reconocidos se interpretarán en consecuencia.
2 Cumplimiento de la legislación
2.1 Cada Parte cumplirá, y tendrá que ser capaz de demostrar el cumplimiento de, sus respectivas obligaciones en virtud de la Ley de protección de datos y de conformidad con este APD.
2.2 El Cliente reconoce y acepta específicamente que su uso de los Servicios de corresponsable del tratamiento y de responsable a encargado del tratamiento cumple con la Ley de protección de datos.
3 Autorizaciones
3.1 Una Parte no divulgará Datos personales a la otra Parte, excepto cuando la Parte divulgadora garantice a la otra Parte que esta divulgación cumple con la Ley de protección de datos y que ha cumplido con cualquier requisito aplicable de información, notificación o de autorización o consentimiento del poder público o los Interesados pertinentes, con respecto a cualesquiera Datos personales que proporcione la Parte divulgadora a la otra Parte. Cada Parte divulgadora debe conservar pruebas del cumplimiento de dichos requisitos durante la vigencia del Acuerdo y proporcionarlas inmediatamente a la otra Parte previa solicitud.
3.2 Nada de lo contenido en este APD prohibirá o limitará los derechos de Criteo a llevar a cabo la anonimización o de- identificación de los Datos personales tratados en relación con el Acuerdo, y en la medida en que lo exija la Ley de protección de datos, el Cliente autoriza por el presente a Criteo a ejecutar técnicas de anonimización en cumplimiento de la Ley de protección de datos. En aras de la claridad, los datos resultantes de la anonimización o de-identificación efectiva y conforme no están sujetos a este APD ni, de manera más general, a la Ley de protección de datos.
4 Cooperación
4.1 Las Partes cooperarán para cumplir con la Ley de protección de datos y con sus obligaciones conforme al presente APD.
4.2 Las Partes conservarán la documentación correspondiente sobre las actividades de Tratamiento llevadas a cabo por cada una de ellas y sobre su cumplimiento de la Ley de protección de datos y de este APD con respecto al Corresponsable del tratamiento y a los Servicios de Responsable del tratamiento a Encargado del tratamiento.
4.3 En caso de investigación, procedimiento, solicitud formal de información o documentación, o cualquier suceso similar en relación con una autoridad de protección de datos y en relación con el Corresponsable del tratamiento o los Servicios de responsable a encargado del tratamiento o con los Datos personales, las Partes tratarán de forma inmediata y adecuada las consultas de la otra Parte relacionadas con el Tratamiento de Datos personales en virtud del Acuerdo.
4.4 En caso de cualquier modificación a la Ley de protección de datos o la promulgación de una nueva, las Partes de mutuo acuerdo realizarán las modificaciones o revisiones necesarias a este APD.
5 Delegados de protección de datos
5.1 Criteo y el Cliente nombraron a un delegado de protección de datos. Puede ponerse en contacto con el delegado de protección de datos de Criteo en: ▇▇▇@▇▇▇▇▇▇.▇▇▇. Los datos de contacto del delegado de protección de datos del Cliente deben comunicarse a Criteo.
Sección II: Condiciones de los Corresponsables del tratamiento
6 Ámbito de esta Sección II
6.1 Esta Sección II se aplicará únicamente con respecto al Tratamiento de Datos personales llevado a cabo en el contexto de la prestación por parte de Criteo de los Servicios de Corresponsable del tratamiento solicitados por el Cliente.
6.2 De conformidad con el artículo 26 del RGPD, las Partes determinan sus respectivas responsabilidades para el cumplimiento de sus obligaciones en virtud del RGPD.
6.3 A efectos de la CPPA, el Cliente será un “Business” y Criteo será un “Tercero”.
7 Obligaciones de las Partes al actuar como Corresponsables del tratamiento
7.1 Al tratar Datos personales como Corresponsables del tratamiento en virtud de la Sección II de este APD, cada Parte acepta que:
(a) Cumplirá con cualquier requisito que surja en virtud de la Ley de protección de datos y no ejecutará sus obligaciones en virtud de este APD ni pedirá al otro corresponsable del tratamiento que cumpla con sus obligaciones de tal manera que haga que el otro corresponsable del tratamiento incumpla alguna de sus obligaciones en virtud de la Ley de protección de datos.
(b) Tendrá en cuenta todos los principios de protección de datos previstos en la Ley de protección de datos, incluidos, entre otros, los principios de limitación de la finalidad, minimización de datos, precisión, limitación
de conservación, seguridad, integridad y confidencialidad, transparencia y protección de Datos personales por diseño y por defecto.
(c) Mantendrá un registro del Tratamiento de los Datos personales bajo su responsabilidad.
(d) Ejecutará medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad correspondiente a los riesgos que presenta el Tratamiento de los Datos personales que lleva a cabo (incluido, para el Cliente, en relación con las Propiedades digitales del Cliente), en particular para proteger los Datos personales contra la destrucción accidental o ilícita o la pérdida o alteración accidental, así como la divulgación o acceso no autorizados.
(e) Tomará todas las medidas necesarias para abordar cualquier Violación de la seguridad de los Datos personales relacionada con los Datos personales que trata, mitigar sus efectos, prevenir posteriores infracciones de la seguridad de los datos personales y, cuando sea necesario, informará de ello a la(s) autoridad(es) de protección de datos competentes y a los Interesados.
(f) Cooperará en la preparación de las evaluaciones de impacto relativas a la protección de datos que sean necesarias.
(g) Llevará a cabo cualquier evaluación, consulta y/o notificación a las autoridades de protección de datos competentes o a los Interesados, en relación con el Tratamiento que lleve a cabo; y
(h) Gestionará las solicitudes y/o quejas de los Interesados que reciba, en particular las solicitudes relacionadas con el ejercicio de sus derechos en virtud de la Ley de protección de datos, incluidos los derechos de acceso, rectificación, supresión y objeción y el derecho a retirar el Consentimiento. Cuando una Parte reciba una solicitud de derecho de un Interesado con respecto a Datos personales tratados por la otra Parte, dicha Parte receptora remitirá al Interesado a la política de privacidad de la otra Parte explicando cómo ejercer su solicitud de derecho con dicha otra Parte, a fin de permitir que dicha otra Parte responda directamente a la solicitud del Interesado.
8 Obligaciones de Criteo
8.1 Criteo será el único responsable, de acuerdo con y en la medida requerida por la Ley de protección de datos, de incluir un enlace a la página de Política de Privacidad de Criteo (▇▇▇.▇▇▇▇▇▇.▇▇▇/▇▇▇▇▇▇▇), que incluirá información para los Interesados sobre cómo desactivar el Servicio Criteo (e insertará un enlace de “exclusión voluntaria”) en todos los anuncios publicados en las Propiedades digitales del Cliente.
8.2 En la medida que Criteo es un Tercero de conformidad con la CPPA: (a) el uso de Datos Personales de Criteo se limitará a los propósitos específicos identificados en el Acuerdo y Criteo no excederá dichos propósitos especificos; (b) Criteo cumplirá con las obligaciones que le son aplicables y proveerá el mismo nivel de protección de privacidad respecto a Datos Personales que sea requerido a un Negocio de conformidad con la CPPA ; (c) Criteo concede al Cliente el derecho, con una notificación previa razonable, de tomar medidas razonables y apropiadas para asegurar que Criteo utiliza Datos Personales de conformidad con este Contrato y la Ley de protección de datos aplicable, incluyendo medidas razonables y apropiadas para detener y remediar el uso no autorizado de Datos Personales; y (d) Criteo notificará al Cliente si determina que ya no puede cumplir con sus obligaciones bajo la Ley de protección de datos aplicable.
9 Obligaciones del Cliente
9.1 El Cliente será el único responsable, de acuerdo con y en la medida requerida por la Ley de protección de datos, de:
(a) proporcionar a los Interesados toda la información necesaria de conformidad con la Ley de protección de datos, incluido de conformidad con los Artículos 13 y 14 del RGPD, con respecto al Tratamiento de los Datos personales en relación con los Servicios de corresponsable del tratamiento;
(c) recoger y documentar el Consentimiento o los procedimientos de exclusión del Tratamiento, según corresponda, obtenidas de los Interesados;
(d) implementar mecanismos de elección para solicitar un Consentimiento válido de los Interesados o procedimientos de exclusión voluntaria, según proceda de conformidad con la Ley de protección de datos y, cuando proceda, con los requisitos específicos de la Autoridad Reguladora local competente;
(e) cuando sean aplicables provisiones de exclusión voluntaria, ofrecer a los Interesados el derecho de exclusión de la venta y compartir sus Datos personales o el uso de los Datos personales con fines de publicidad dirigida;
(f) cumplir con los requisitos aplicables al periodo de validez del Consentimiento recogido y solicitar el Consentimiento una vez que este periodo de validez haya caducado; y
(g) proporcionar inmediatamente a Criteo, previa solicitud y en cualquier momento, pruebas de que el Cliente ha obtenido el Consentimiento de un Interesado.
