Inicio / Apéndice del tratamiento de datos

Apéndice del tratamiento de datos

Apéndice del tratamiento de datos

Versión en vigor a partir de septiembre de 2021

Al aceptar las condiciones del Acuerdo que se refieren a este Apéndice de Tratamiento de Datos ("DPA"), usted ("Suscriptor") acepta las condiciones establecidas en el presente documento, que se incorporan al Contrato por referencia.

Preámbulo

Bentley y el Suscriptor, en nombre de sí mismo y de sus Filiales, han suscrito uno o varios formularios de pedido, contratos o acuerdos (" Acuerdo ") en virtud de los cuales Bentley ha acordado conceder licencias de software, productos o prestar servicios al Suscriptor según se describe en el Acuerdo (colectivamente, los "Servicios "). Los términos en mayúsculas utilizados pero no definidos de otro modo en el presente DPA tendrán el significado que se les atribuye en el Acuerdo. En el caso de que hubiere discrepancia entre los términos de este DPA y los términos del Acuerdo, los términos de este DPA dominarán por lo que toca a dicha discrepancia. El Acuerdo incluye todos los documentos, anexos, apéndices, declaraciones de trabajo u otros adjuntos que formen parte o se incorporen al Acuerdo, incluido el presente DPA.

Al formalizar el Acuerdo, el Suscriptor celebra este DPA en nombre de sí mismo y, en la medida requerida en virtud de las Leyes y Reglamentos de Protección de Datos aplicables, en el nombre y en representación de sus Filiales, en la medida en que Bentley trata Datos Personales para los que las Filiales califican como el Responsable. Únicamente a efectos del presente DPA, y salvo que se indique lo contrario, el término "Subscriptor" incluirá al Suscriptor y a sus Filiales.

Durante la prestación de los Servicios al Suscriptor de conformidad con el Acuerdo, Bentley puede tratar Datos Personales en nombre del Suscriptor, y las Partes acuerdan cumplir con las siguientes disposiciones con respecto a cualesquiera de los Datos Personales, cada una actuando razonablemente y de buena fe.

1. DEFINICIONES

 Filiales" " significa cualquier entidad que directa o indirectamente controle, sea controlada por, o esté bajo control común de la entidad respectiva. "Control", a efectos de esta definición, significa la propiedad directa o indirecta o el control de más del 50 % de las participaciones con derecho a voto de la entidad respectiva.

CCPA" se refiere a la Ley de Privacidad del Consumidor de California, Código Civil de California § 1798.100 y siguientes, y su reglamento de ejecución.

Responsable" se refiere a la entidad que define los propósitos y medios del Tratamiento de Datos Personales.

Infracción de Seguridad de Datos significa una violación de la seguridad que conduzca a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos Personales transmitidos, almacenados o, de lo contrario, tratados por Bentley de conformidad con el Acuerdo.

Leyes y Reglamentos de Protección de Datos" se refiere a todas las leyes y regulaciones, incluidas las leyes y reglamentos aplicables al Tratamiento de Datos Personales en virtud del Acuerdo, modificadas ocasionalmente. Para despejar dudas, en el caso de que las actividades de tratamiento de Bentley con respecto a Datos Personales no se encuentren dentro del alcance de una ley de protección de datos determinada, no se aplicará dicha ley para efecto de este DPA.

Titular de los Datos" se refiere a la persona identificada o identificable con la que se relacionan los Datos Personales.

GDPR" se refiere al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de personas físicas con respecto al tratamiento de datos personales y sobre el movimiento libre de dichos datos, así como la Directiva derogatoria 95/EC/46 (Reglamento General de Protección de Datos), e incluye la manera en que es implementado o adoptado de conformidad con las leyes del Reino Unido.

 Datos Personales" se refieren a cualquier información relacionada con (i) una persona física identificada o identificable y, (ii) una entidad legal identificada o identificable (donde dicha información esté protegida de manera similar como datos personales o información personal identificable según las Leyes y Reglamentos de Protección de Datos aplicables).

Tratamiento" se refiere a cualquier actividad o conjunto de actividades que se realicen a partir de Datos Personales, ya sea por medios automáticos, como recopilación, grabación, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, diseminación o, de lo contrario, poner a disponibilidad, alineación o combinación, restricción, borrado o destrucción.

Encargado se refiere a la entidad que trata Datos Personales en nombre del Responsable, incluyendo, según corresponda, cualquier “proveedor de servicios” tal como ese término se define en la CCPA.

Suscriptor significa la entidad que formalizó el Acuerdo junto con sus Filiales (mientras permanezcan como Filiales).

Cláusulas Contractuales estándar de la UE” son las Cláusulas Contractuales estándar establecidas en la Decisión de Ejecución (UE) 2021/914 de la Comisión, del 4 de junio de 2021, relativa a las Cláusulas Contractuales estándar para la transferencia de Datos Personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, disponible aquí.

Subencargado significa cualquier Encargado contratado por Bentley o Filiales de Bentley en nombre de Bentley.

Autoridad de Control" se refiere a un organismo público independiente creada por un Estado miembro de la UE de conformidad con el GDPR o, en el caso del Reino Unido, a la Oficina del Comisionado de Información ("ICO").

 

2. TRATAMIENTO DE DATOS PERSONALES

2.1. Roles de las partes. Las partes reconocen y acuerdan que, con respecto al Tratamiento de Datos Personales, el Suscriptor es el Responsable, Bentley es el Encargado, y que Bentley contratará a los Subencargados de conformidad con los requisitos establecidos en la Sección 5 "Subencargados" a continuación.

2.2. Tratamiento de Datos Personales por parte del Suscriptor. El Suscriptor deberá, en el uso que haga de los Servicios, tratar los Datos Personales de acuerdo con los requisitos de las Leyes y Reglamentos de Protección de Datos, incluido cualquier requisito aplicable para notificar a los Titulares de los Datos del uso que haga Bentley como Encargado. Para evitar dudas, las instrucciones del Suscriptor para el Tratamiento de Datos Personales cumplirán con las Leyes y Reglamentos de Protección de Datos. El Suscriptor es el único responsable de la exactitud, calidad y legalidad de (i) los Datos Personales proporcionados a Bentley por o en nombre del Subscriptor, (ii) los medios por los cuales el Suscriptor adquirió los Datos Personales y (iii) las Instrucciones que proporciona a Bentley. El Suscriptor no proporcionará ni pondrá a disposición de Bentley ningún Dato Personal que infrinja el Acuerdo o que, en caso contrario, sea inapropiado para la naturaleza de los Servicios, y deberá indemnizar a Bentley de todas las reclamaciones y pérdidas relacionadas con el incumplimiento por parte del Suscriptor de las Leyes y Reglamentos de Protección de Datos aplicables.

 2.3. Tratamiento de Datos Personales por parte de Bentley. Bentley tratará los Datos Personales como información confidencial y tratará los Datos Personales en nombre de y solo con arreglo a las instrucciones registradas del Suscriptor, a menos que un requisito legal exija lo contrario a Bentley, para los siguientes fines: (i) Tratamiento con arreglo al Acuerdo y formulario(s) de pedido; (ii) Tratamiento iniciado por los usuarios en su uso de los Servicios; (iii) Tratamiento para cumplir con otras instrucciones razonables registradas que fueron proporcionadas por el Suscriptor (por ejemplo, por correo electrónico) cuando tales instrucciones sean congruentes con las condiciones del Acuerdo, y (iv) Tratamiento en cumplimiento con las Leyes y Reglamentos de Protección de Datos. En caso de que Bentley esté supeditado a un requisito legal, Bentley informará al Suscriptor de ese requisito legal, a menos que dicha ley lo prohíba.

El Suscriptor le indica a Bentley que trate Datos Personales de acuerdo con lo anterior y como parte del uso de los Servicios por parte del Suscriptor.

 2.4. El papel de Bentley como proveedor de servicios de conformidad con la CCPA. Las partes reconocen y aceptan que Bentley es un proveedor de servicios a efectos de la CCPA y recibe Datos Personales del Suscriptor de conformidad con el Acuerdo con fines comerciales. Bentley no venderá dichos Datos Personales ni conservará, utilizará o divulgará ningún Dato Personal proporcionado por el Suscriptor de conformidad con el Acuerdo, excepto cuando sea necesario para la prestación de los Servicios o de otro modo según lo establecido en el Acuerdo o según lo permitido por la CCPA. Los términos “proveedor de servicios” y “vender” son los definidos en el Artículo 1798.140 de la CCPA. Bentley da fe de que comprende las restricciones de ese artículo.

 2.5. Detalles del Tratamiento. El objeto del Tratamiento de Datos Personales por parte de Bentley es la prestación de los Servicios de conformidad con el Acuerdo. La duración del Tratamiento, la naturaleza y finalidad del Tratamiento, los tipos de Datos Personales y las categorías de los Titulares de los Datos tratados bajo este DPA, así como la información sobre la transferencia de Datos Personales tal como lo requieren los Anexos I y II de las Cláusulas Contractuales estándar de la UE (si procede) se especifican al detalle en el Anexo 2 de este DPA.

3. DERECHOS DE LOS TITULARES DE LOS DATOS

 Solicitud del Titular de los Datos. Bentley, en la medida en que lo permita la ley, notificará de inmediato al Suscriptor si Bentley recibe una solicitud de un Titular de los Datos para ejercer el derecho del Titular de los Datos al acceso, rectificación, restricción del Tratamiento, el borrado ("derecho al olvido"), portabilidad de los datos, objetar el Tratamiento de los datos o ejercer su derecho a no estar sujeto a una decisión automatizada individual; y cada una de estas solicitudes es una "Solicitud del Titular de los Datos". Considerando la naturaleza del Tratamiento, Bentley asistirá al Suscriptor mediante las medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de la obligación del Suscriptor de responder a una Solicitud del Titular de los Datos conforme a las Leyes y Reglamentos de Protección de Datos.

4. PERSONAL DE BENTLEY

 4.1. Confidencialidad. Bentley se asegurará de que su personal involucrado en el Tratamiento de Datos Personales esté informado de la naturaleza confidencial de los Datos Personales, de que haya recibido la capacitación adecuada sobre sus responsabilidades y de que haya formalizado acuerdos de confidencialidad por escrito. Bentley garantizará que dichas obligaciones de confidencialidad sobrevivan a la terminación del compromiso del personal.

4.2. Limitación de Acceso. Bentley garantizará que el acceso de Bentley a los Datos Personales esté limitado a aquellos que realicen los Servicios de conformidad con el Acuerdo.

4.3. Responsable de protección de datos. Bentley ha nombrado a un responsable de protección de datos. La persona designada puede ser contactada en [email protected].

5.   SUBENCARGADOS

 5.1. Nombramiento de Subencargados. El Suscriptor reconoce y acepta que (a) las Filiales de Bentley pueden ser contratadas como Subencargadas; y (b) Bentley y las Filiales de Bentley, respectivamente, pueden contratar Subencargados terceros en relación con la prestación de los Servicios. Bentley o una Filial de Bentley ha celebrado un acuerdo por escrito con cada Subencargado que contiene obligaciones de protección de datos no menos protectoras que las contenidas en este DPA con respecto a la protección de los Datos Personales del Suscriptor en la medida en que sea aplicable a la naturaleza de los Servicios proporcionados por dicho Subencargado.

5.2. Lista de Subencargados actuales, notificación de nuevos Subencargados y mecanismo de consentimiento. Bentley pondrá a disposición del Suscriptor la lista actual de Subencargados para los Servicios. El Suscriptor puede encontrar una lista mantenida de Subencargados en línea aquí. El Suscriptor por la presente autoriza en general a Bentley y a las Filiales de Bentley a eliminar o agregar nuevos subencargados de acuerdo con esta Sección 5. Los nuevos Subencargados del tratamiento que accedan a los Datos Personales del Suscriptor serán aprobados por el Suscriptor a través del siguiente mecanismo de consentimiento:

  1. Bentley notificará al Suscriptor al menos treinta (30) días antes de autorizar a cualquier nuevo subencargado a acceder a los Datos Personales actualizando el subencargado a la lista en línea en el Centro de confianza de Bentley.
  2. Si el Suscriptor no presenta objeciones razonables con Bentley por escrito dentro de este período de treinta (30) días, entonces este se tomará como aprobación del nuevo subencargado por parte del Suscriptor.
  3. Si el Suscriptor plantea objeciones razonables, Bentley tendrá derecho a terminar el Servicio afectado del Suscriptor con catorce (14) días de anticipación, a menos que Bentley decida (a) continuar el Servicio sin la contratación del Subencargado al que se opuso el Suscriptor, (b) tomar medidas suficientes para abordar las preocupaciones planteadas en la objeción del Suscriptor o, (c) en consentimiento con el Suscriptor, dejar de proporcionar (temporal o permanentemente), el aspecto particular del Servicio que implicaría la participación del subencargado. Cada Subencargado estará vinculado por obligaciones de protección de datos consecuentes con las de este Acuerdo.

5.3. Responsabilidad. Bentley será responsable de los actos y las omisiones de sus Subencargados en la misma medida en que Bentley sería responsable si realizara los servicios de cada Subencargado directamente bajo los términos de este DPA, salvo que se establezca lo contrario en el Acuerdo.

6. SEGURIDAD

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, Bentley preservará las medidas organizativas y técnicas adecuadas para garantizar un nivel de seguridad adecuado ante el riesgo de Tratamiento de Datos Personales. Bentley deberá, como mínimo:

  • Adoptar políticas y estándares relacionados con la seguridad de la información.
  • Atribuir la responsabilidad de la administración de la seguridad de la información.
  • Dedicar recursos de personal adecuados a la seguridad de la información.
  • Realizar verificaciones de referencia o antecedentes de los empleados permanentes que tendrán acceso a los datos personales y según sea necesario para cumplir con los requisitos (cuando sea factible y lícito en cada jurisdicción pertinente).
  • Exigir a todos los empleados de Bentley que cumplan con una política escrita de Seguridad de la Información.
  • Tener procedimientos para evitar el acceso no autorizado a los Datos Personales a través del uso, según corresponda, de controles de entrada físicos y lógicos, áreas seguras para el tratamiento y herramientas de prevención contra la pérdida de datos.
  • Garantizar el cumplimiento de las políticas y estándares relacionados con la protección de datos de forma continua.

Bentley tiene derecho a cambiar las medidas técnicas y organizativas a su exclusivo criterio, siempre que el nivel general de seguridad de los Servicios no sea degradado. Información adicional sobre las medidas técnicas y organizativas de Bentley está disponible en el Centro de confianza de Bentley, actualizada de vez en cuando.

7. DERECHO DEL SUSCRIPTOR A LA AUDITORÍA

 Durante la vigencia de este DPA, a solicitud del Suscriptor, no más de una vez por año calendario, y sujeto a un acuerdo de confidencialidad, Bentley proporcionará al Suscriptor el informe de auditoría más reciente realizado por un auditor independiente para que el Suscriptor pueda verificar razonablemente el cumplimiento de Bentley con sus obligaciones de protección de datos. El Suscriptor acepta ejercer cualquier derecho de auditoría e inspección que pueda tener únicamente mediante solicitud y revisión de dicho informe de auditoría. Una vez que el Suscriptor haya revisado lo anterior, en caso de que se requiera información adicional para demostrar el cumplimiento de las obligaciones de protección de datos de Bentley, el Suscriptor debe notificar por escrito a Bentley, identificando específicamente qué obligación el informe no demuestra el cumplimiento, la deficiencia en el informe y las áreas a las que se solicita información adicional. Tras la revisión, Bentley puede notificar a su auditor independiente sobre las deficiencias identificadas para su inclusión en los procedimientos de auditoría. A discreción de Bentley, Bentley hará todo lo posible para cumplir y proporcionar al Suscriptor (ya sea a él o un auditor acreditado registrado que actúe en nombre del Suscriptor, sujeto a obligaciones de no divulgación) acceso a políticas, procedimientos, procesos o pruebas adicionales que demuestren los controles. El Suscriptor entregará a Bentley un aviso previo de no menos de 30 días, no podrá conservar copias de documentación adicional ni hacer copias, y no interrumpirá razonablemente las actividades comerciales de Bentley. El Suscriptor será responsable de todos los costos de dicha auditoría, y pueden aplicarse cargos adicionales para compensar los costos incurridos por Bentley.

8. ADMINISTRACIÓN Y NOTIFICACIÓN DE VIOLACIONES DE DATOS

Bentley acepta notificar al Suscriptor sin demoras indebidas al descubrir una Infracción de Seguridad de Datos. En el curso de notificación al Suscriptor, Bentley proporcionará al Suscriptor información viable y suficiente para que el Suscriptor realice las notificaciones necesitadas dentro del plazo demandado por las Leyes y Reglamentos de Protección de Datos. Dicha información puede incluir, pero no se limita necesariamente a: (i) la naturaleza de la Infracción de Seguridad de Datos, y las categorías y la cantidad aproximada de los Titulares de los Datos y registros de Datos Personales afectados; (ii) las consecuencias probables de Infracción de Seguridad de Datos, siempre que las consecuencias puedan determinarse; y (iii) cualquier medida tomada para afrontar o reducir la Infracción de Seguridad de Datos.

9. DEVOLUCIÓN Y ELIMINACIÓN DE DATOS PERSONALES

Bentley conservará los Datos Personales recibidos del Suscriptor o creados en nombre del Suscriptor solo durante el tiempo que sea necesario para realizar los servicios en virtud del Acuerdo o, de lo contrario, según lo exija la ley aplicable. A petición del Suscriptor, Bentley acepta devolver o destruir los Datos Personales recibidos o creados de conformidad con el Acuerdo, en la medida en que lo permita la ley aplicable.

10. LIMITACIÓN DE RESPONSABILIDAD

 La responsabilidad total de cada uno de los Suscriptores y Bentley (y sus respectivos empleados, directores, ejecutivos, filiales, derechohabientes y cesionarios de un derecho), que surja o esté relacionada con este DPA, ya sea en contrato, daño u otra base jurídica de responsabilidad, está sujeta a la Sección 'Limitación de Responsabilidad' del Acuerdo, y cualquier referencia en dicha sección a la responsabilidad de una parte significa la responsabilidad total de esa parte y de todos sus Afiliados en virtud del Acuerdo y de todos los DPA juntos.

11. DISPOSICIONES ESPECÍFICAS EUROPEAS

 11.1. GDPR. Bentley tratará los Datos Personales de acuerdo con los requisitos del GDPR directamente aplicables a la prestación de los Servicios de Bentley.

11.2. Evaluación del impacto de la protección de datos. Bentley proporcionará asistencia razonable al Suscriptor en relación con cualquier evaluación de impacto en la protección de datos o consultas previas que puedan requerirse con respecto al tratamiento realizado en virtud del Acuerdo, en la medida en que lo requiera el GDPR.

11.3. Notificación de inspección. Bentley se compromete a notificar al Suscriptor acerca de cualquier inspección o auditoría por parte de una Autoridad de Control con respecto al cumplimiento de las Leyes y Reglamentos de Protección de Datos en la medida en que esté relacionada con los Servicios prestados en virtud del Acuerdo. Bentley cooperará con los Organismos Supervisores pertinentes a petición del Suscriptor en una medida razonable.

11.4. Mecanismos de transferencia para las transferencias de datos. Bentley pone a disposición el mecanismo de transferencia enumerado en el Anexo 1 que se aplicará, a cualquier transferencia de Datos Personales bajo este DPA desde la Unión Europea, el Espacio Económico Europeo o sus Estados miembros, Suiza y el Reino Unido a países que no garanticen un nivel adecuado de protección de datos en el sentido de las Leyes y Reglamentos de Protección de Datos de los territorios anteriores, en la medida en que dichas transferencias estén sujetas a dichas Leyes y Reglamentos de Protección de Datos. Además, el Anexo 1 contiene términos adicionales sobre la aplicación de los mecanismos de transferencia establecidos en ellos.

12. VARIOS

12.1. Efecto legal. Este DPA puede ejecutarse en duplicados, cada uno de los cuales se considerará original, pero todos juntos se considerarán uno y el mismo acuerdo. Una copia firmada de este DPA entregada por fax, correo electrónico u otros medios de transmisión electrónica (a los que se adjunta una copia firmada en PDF) se considerará que tiene el mismo efecto legal que la entrega de un ejemplar original firmado de este DPA.

12.2. Condiciones Específicas de Jurisdicción. En la medida en que Bentley trata Datos Personales originados y protegidos por las Leyes y Reglamentos de Protección de Datos en una de las jurisdicciones enumeradas en el Anexo 5 (Condiciones Específicas de Jurisdicción) de este DPA, además de las condiciones de este DPA, se aplican las condiciones del Anexo 5 en lo que afecta a la jurisdicción aplicable.

 12.3. Conflicto.En caso de conflicto o incoherencia entre el contenido sustantivo de este DPA (incluyendo cualquiera de sus Anexos y Adjuntos a excepción de las Cláusulas Contractuales estándar de la UE) y las Cláusulas Contractuales estándar de la UE, prevalecerán las Cláusulas Contractuales estándar de la UE.

Lista de Anexos

Anexo 1: Mecanismos de transferencia y términos adicionales para transferencias europeas de datos  Anexo 2: Detalles del tratamiento y transferencia de Datos Personales

Anexo 3: SCC-Matrix

Anexo 4: Datos de contacto de las partes e identificación de la Autoridad de Control competente  Anexo 5: Condiciones específicas de jurisdicción

ANEXO 1 — MECANISMOS DE TRANSFERENCIA Y TÉRMINOS ADICIONALES PARA TRANSFERENCIAS EUROPEAS DE DATOS

Este Anexo 1 establece los mecanismos de transferencia para la transferencia de los Datos Personales del Suscriptor, sujetos a las leyes de protección de datos aplicables en la Unión Europea, el Espacio Económico Europeo o sus Estados miembros, Suiza y el Reino Unido, al contacto de Bentley Systems, Incorporated (“Transferencias de datos europeas”), así como las condiciones adicionales sobre el alcance y la aplicación de dicho mecanismo de transferencia al utilizar los Servicios proporcionados por Bentley.

Transferencias europeas de datos

Esta sección se aplica a la transferencia de Datos Personales del Suscriptor a Bentley Systems, Incorporated, cuando utilice los Servicios de Bentley, siempre que la transferencia de dichos Datos Personales esté sujeta al GDPR.

1.1. Aplicación de las Cláusulas Contractuales estándar de la UE

En caso de que los Datos Personales del Suscriptor sujetos al GDPR se transfieran a Bentley Systems, Incorporated, dicha transferencia está sujeta a las Cláusulas Contractuales estándar de la UE. Las Cláusulas Contractuales estándar de la UE proporcionan varios módulos que se aplican dependiendo de qué entidad esté exportando e importando los Datos Personales del Suscriptor.

  • Cuando la parte contractual de este DPA sea Bentley Systems International Limited, el Módulo 3 de las Cláusulas Contractuales estándar de la UE (encargado a encargado) se aplica a Bentley Systems International Limited como el “Exportador de Datos” y Bentley Systems, Incorporated, como el “Importador de Datos” en razón de la transferencia de Datos Personales del Suscriptor a Bentley Systems, Incorporated. Bentley proporcionará al Suscriptor una copia de las Cláusulas Contractuales estándar de la UE suscritas entre Bentley Systems International Limited y Bentley Systems, Incorporated, a solicitud.
  • Cuando la parte contractual de este DPA sea Bentley Systems, Incorporated, el Módulo 2 de las Cláusulas Contractuales estándar de la UE (responsable a encargado) se aplica al Suscriptor como “Exportador de Datos” y a Bentley Systems, Incorporated, como “Importador de Datos” con respecto a la transferencia de Datos Personales del Suscriptor a Bentley Systems, Incorporated. En este caso, el Suscriptor debe cumplir con el proceso de ejecución definido en el Artículo 1.2 de este Anexo 1.

1.2. Proceso de ejecución para el Módulo 2 de las Cláusulas Contractuales estándar de la UE

En caso de que el Módulo 2 de las Cláusulas Contractuales estándar de la UE se aplique como se define en el Artículo 1.1 de este Anexo 1, el Suscriptor deberá cumplir con el siguiente proceso de ejecución:

El Anexo 3 contiene una matriz ("SCC-Matrix") que especifica qué opciones del Módulo 2 de las Cláusulas Contractuales estándar de la UE se aplican y dónde se define la información sobre la transferencia de datos personales demandados en los anexos de las Cláusulas Contractuales estándar de la UE.

1.3. Medidas complementarias

Bentley proporciona las siguientes medidas complementarias para garantizar un nivel adecuado de protección de conformidad con la Sección 44 y siguientes del GDPR para los Datos Personales del Suscriptor transferidos a Bentley Systems, Incorporated, siempre y cuando Bentley no esté obligado en virtud de la ley aplicable a cumplir con estas medidas complementarias:

  • Bentley notificará al Suscriptor sin demoras indebidas en caso de que cualquier autoridad pública solicite acceso a los Datos Personales del Suscriptor. En caso de que Bentley esté impedido para notificar al Suscriptor en una situación debido a la ley aplicable, Bentley sin demoras indebidas garantizará que la transferencia de Datos Personales al país que solicitó el acceso haya cesado y notificará al Suscriptor que tenía que hacerlo. Las Partes participarán en conversaciones sobre cómo aliviar la situación.
  • Bentley tomará sin demoras indebidas cualquier recurso legal disponible contra cualquier solicitud de acceso a los datos por parte de los organismos públicos y no divulgará ningún Dato Personal hasta que lo solicite la decisión judicial final y vinculante.
  • Bentley ayudará al Suscriptor proporcionando cualquier información en la medida razonable si el Suscriptor decide informar a los Titulares de los Datos si sus Datos Personales se ven afectados por una solicitud de acceso a los datos por parte de un organismo público.
  • Bentley proporcionará periódicamente al Suscriptor un informe de transparencia sobre las solicitudes de acceso a los Datos Personales recibidas de los organismos públicos en forma agregada, incluyendo al menos información sobre la cantidad de solicitudes de datos, el tipo de datos solicitados, el organismo público solicitante y en qué medida Bentley ha revelado Datos Personales a dichos organismos públicos.
  • Bentley supervisará constantemente cualquier desarrollo legal o política que pueda conducir a su incapacidad para cumplir con las obligaciones de conformidad con las Cláusulas Contractuales estándar de la UE, y sin demoras indebidas informará al Suscriptor sobre dichos cambios y desarrollos.
  • Por el presente, Bentley confirma que no ha creado a propósito puertas traseras o programaciones similares que puedan usarse para acceder a los sistemas de Bentley o a los datos personales del Suscriptor almacenados en ellas.

Se dispone de más información sobre salvaguardias suplementarias, previa solicitud.

ANEXO 2 — DETALLES DEL TRATAMIENTO Y TRANSFERENCIA DE DATOS PERSONALES

Este Anexo 2 especifica la información sobre el tratamiento y la transferencia de Datos Personales de acuerdo con la Sección 2.5 del DPA.

Descripción de las actividades de Tratamiento y funciones de las Partes

El uso de los Servicios de Bentley por parte del Suscriptor implica el Tratamiento de Datos Personales por parte de Bentley en nombre del Suscriptor. Bentley, en su calidad de Encargado, realiza cualquier Tratamiento de Datos Personales pertenecientes al Suscriptor, por medio del cual el Suscriptor actúa como Responsable.

El Tratamiento de los Datos Personales del Suscriptor por parte de Bentley implica la recopilación, transferencia, almacenamiento y otras actividades de tratamiento necesarias para proporcionar, mantener y actualizar los Servicios prestados por Bentley al Suscriptor a través de los sistemas de Bentley. Los Datos Personales tratados en los sistemas de Bentley al utilizar los Servicios proporcionados por Bentley se transfieren y almacenan en servidores ubicados en EE. UU., manejados por Bentley Systems, Incorporated.

Naturaleza y propósito del Tratamiento

Bentley tratará los Datos Personales según sea necesario para prestar los Servicios de conformidad con el Acuerdo, tal como se especifica en la documentación, y según lo indique el Suscriptor en su uso de los Servicios.

Duración del Tratamiento

Sujeto a la sección 9 del DPA, Bentley tratará los Datos Personales por la duración del Acuerdo, a menos que se acuerde lo contrario por escrito.

 Categorías de Titulares de los Datos 

El Suscriptor puede enviar Datos Personales a los Servicios, cuyo alcance es fijado y controlado por el Suscriptor a su exclusivo criterio, y que pueden incluir, entre otros, Datos Personales relacionados con las siguientes categorías de titulares de los datos:ía

  • Socios comerciales y proveedores del Suscriptor (que son personas físicas)
  • Empleados, agentes, asesores, cuentapropistas del Suscriptor (que son personas físicas)
  • Usuarios del Suscriptor autorizados por el Suscriptor para utilizar los Servicios (que son personas físicas)

Categorías de Datos Personales

El Suscriptor puede enviar Datos Personales a los Servicios, cuya cantidad define y controla el Suscriptor a su exclusivo arbitrio, y que pueden incluir, entre otros, las siguientes categorías de Datos Personales:

  • Datos de localización, datos de ID de Suscriptor
  • Nombre y apellido
  • Información de contacto (compañía, correo electrónico, teléfono, dirección comercial física)
  • Cualquier Dato Personal almacenado por el Suscriptor en el entorno de nube de Bentley
  • Datos Personales del Suscriptor cargados a los servicios en relación con el Acuerdo

Categorías especiales de datos (si procede)

No pertinente.

Frecuencia de la Transferencia

El uso de los Servicios de Bentley por parte del Suscriptor durante el plazo de suscripción implica la transferencia continua de Datos Personales.

Periodos de Retención

Bentley conserva los Datos Personales del Suscriptor durante el periodo de suscripción del Suscriptor. En caso de que finalicen las condiciones de suscripción del Suscriptor, Bentley deja de transferir y tratar los Datos Personales del Suscriptor y devuelve o elimina dichos Datos Personales de acuerdo con las disposiciones estipuladas en este DPA.

Transferencias a (sub) encargados 

Bentley utiliza ciertos (sub) Encargados cuando presta sus Servicios al Suscriptor. Para este fin, dicho (sub) Encargado también puede tratar los Datos Personales del Suscriptor. Puede encontrar más información sobre la función de estos (sub) Encargados, así como el asunto, la naturaleza y la duración del Tratamiento realizado por estos (sub) Encargados en el Centro de confianza de Bentley.

Medidas Técnicas y Organizativas

Bentley mantendrá salvaguardas administrativas, físicas y técnicas para la protección de la seguridad, confidencialidad e integridad de los Datos Personales tratados en el contexto de la prestación de los Servicios según se detalla en el Centro de confianza de Bentley o, de lo contrario, según Bentley ponga a disposición de manera razonable.

ANEXO 3 – SCC-MATRIX

Este Anexo 3 solo se aplica si Bentley Systems, Incorporated, es la parte contractual de este DPA y el Módulo 2 de las Cláusulas Contractuales estándar de la UE se aplica entre el Suscriptor y Bentley Systems, Incorporated, tal como se define en el Artículo 1.1 del Anexo 1. El Anexo 3 no se aplica si Bentley Systems International Limited es la parte contractual de este DPA.

En este Anexo 3 se especifican las opciones seleccionables así como la información necesaria sobre la transferencia a terceros países requerida en virtud de las Cláusulas Contractuales estándar de la UE.

Módulo 2 de las Cláusulas Contractuales estándar de la UE

(De Responsable a Encargado)

Descripción detallada 
Cláusula 7 (Cláusula de incorporación): selección de opciones disponiblesEl Exportador de Datos y el Importador de Datos acuerdan que cualquier entidad que no sea parte de las Cláusulas Contractuales estándar de la UE deberá adherirse a las mismas ya sea como Exportador de Datos o Importador de Datos en conformidad con el Artículo I, Cláusula 7 ("Cláusula de Incorporación") solo cuando lo confirmen de forma explícita el Exportador de Datos y el Importador de Datos; dicha confirmación deberá realizarse por escrito.
Cláusula 9 (a) (Uso de subencargados): selección de opciones disponiblesPor el presente, el Exportador de Datos y el Importador de Datos acuerdan que se aplica la Opción 2 del Artículo II, Cláusula 9.a de las Cláusulas Contractuales estándar de la UE (autorización general para la contratación de subencargados). Para este propósito, el Artículo 5 del DPA se aplica consecuentemente.
Cláusula 11 (Reparación): selección de opciones disponiblesPor el presente, el Exportador de Datos y el Importador de Datos acuerdan que la opción de reparación establecida en el Artículo II, Cláusula 11 del SCC no se aplica.
Cláusula 13 (Supervisión), Anexo I.C.: determinación de la Autoridad de Control competenteConsulte la información en el Anexo 4.
Cláusula 17 (Derecho aplicable): selección de opciones disponiblesEl Exportador de Datos y el Importador de Datos acuerdan que aplicarán las disposiciones de la Opción 1 del Artículo III, Cláusula 17 de las Cláusulas Contractuales estándar de la UE y las Cláusulas Contractuales estándar de la UE se regirán por las leyes de Irlanda.

Cláusula 18 (elección del foro y jurisdicción):

Selección de opciones disponibles

El Exportador de Datos y el Importador de Datos por la presente acuerdan, en conformidad con el Artículo III, Cláusula 18 de las Cláusulas Contractuales estándar de la UE, que cualquier desacuerdo que surja de las Cláusulas Contractuales estándar de la UE se formulará ante los tribunales de Dublín, Irlanda.
Anexo I.A.: Información sobre el nombre, dirección, función y actividades del Exportador de Datos pertinentes para los datos transferidos, nombre, cargo y datos de contacto de la persona de contactoConsulte la información en el Anexo 2 y el Anexo 4.
Anexo I.A.: Firma y fecha del Exportador de DatosLa firma del Acuerdo se considerará como firma de las Cláusulas Contractuales estándar de la UE y de su Apéndice como se describe en el Artículo 1.2. del Anexo 1.
Anexo I.A.: Información sobre el nombre, la dirección, el rol y las actividades del Importador de Datos pertinentes para los datos transferidos, el nombre, la posición y los detalles de contacto de la persona de contactoConsulte la información en el Anexo 2 y el Anexo 4.
Anexo I.A.: Firma y fecha del Exportador de DatosLa firma del Acuerdo se considerará como firma de las Cláusulas Contractuales estándar de la UE y de su Apéndice como se describe en la Sección 1.2. del Anexo 1.
Anexo I.B.: Categorías de los titulares de los datos cuyos datos personales se transfiereConsulte la información del Anexo 2.
Anexo I.B.: Categorías de datos personales transferidosConsulte la información del Anexo 2.
Anexo I.B.: Datos confidenciales transferidos (si corresponde) y restricciones o medidas de protección aplicadasConsulte la información del Anexo 2.
Anexo I.B.: Frecuencia de la transferenciaConsulte la información del Anexo 2.
Anexo I.B.: Naturaleza del tratamientoConsulte la información del Anexo 2.
Anexo I.B.: Finalidad de la transferencia y el posterior tratamiento de datosConsulte la información del Anexo 2.
Anexo I.B.: Período para el cual se conservarán los datos personales, o si eso no es posible, los criterios utilizados para determinar ese períodoConsulte la información del Anexo 3.
Anexo I.B.: Para transferencia a (sub) encargado: materia, naturaleza y duración del tratamientoConsulte la información del Anexo 2.
Anexo I.C.: Identidad de la/s autoridad/es de control competentes de conformidad con la Cláusula 13Consulte la información en el Anexo 4.
Anexo II: Medidas técnicas y organizativasConsulte la información del Anexo 2.
Anexo III: Información sobre los Subencargados, incluyendo nombre, dirección, nombre de la persona de contacto, cargo y datos de contacto, descripción del tratamientoNo requerido como Opción 2 en la Cláusula 9.a de la Cláusula Contractual estándar de la UE, se aplicará como se especifica en este Anexo 3.

ANEXO 4 - DETALLES DE CONTACTO DE LAS PARTES Y IDENTIFICACIÓN DE LA AUTORIDAD DE CONTROL COMPETENTE

Esta Relación 4 solo se aplica si Bentley Systems, Incorporated es la parte contractual de este DPA, y el Módulo 2 de las Cláusulas Contractuales estándar de la UE se aplica a y entre el Suscriptor y Bentley Systems, Incorporated, como se define en la Sección 1.1 de la Relación 1. La Relación 4 no aplica si Bentley Systems International Limited es la parte contractual de este DPA.

Este Anexo 4 menciona los detalles de contacto del Exportador de Datos y del Importador de Datos según lo exige el Anexo I de las Cláusulas Contractuales estándar de la UE siempre que esta información no esté especificada en este DPA y en los Anexos del 1 al 3, y también precisa la autoridad de control competente de conformidad con el Artículo 13 de las Cláusulas Contractuales estándar de la UE.

Contacto de Bentley Systems, Incorporated  

Responsable de protección de datos: [email protected]

Persona(s) de contacto del Suscriptor o responsable de la protección de datos (si corresponde)

Nombre: como se especifica en el Acuerdo

Cargo, denominación: según se especifica en el Acuerdo

Detalles de contacto: según se especifica en el Acuerdo

Representante del Suscriptor en la UE (si corresponde)

Nombre: como se especifica en el Acuerdo

Detalles de contacto: según se especifica en el Acuerdo

Identificación de la(s) autoridad(es) de control competentes de acuerdo con la Cláusula 13

Nombre: autoridad de control competente en la jurisdicción donde se establece la exportación de datos como se define más adelante en el Acuerdo.

ANEXO 5: CONDICIONES ESPECÍFICAS DE JURISDICCIÓN

Australia:

  • La definición de “Leyes y Reglamentos de Protección de Datos” incluye los principios de privacidad australianos y la Ley de Privacidad australiana (1988).
  • La definición de “Datos Personales” incluye “Información Personal” tal como se define en las Leyes y Reglamentos de Protección de Datos.

Brasil

  • La definición de "Leyes y Reglamentos de Protección de Datos" incluye la Ley General de Protección de Datos ("LGPD").
  • La definición de “Encargado” incluye “operador” como se define bajo la LGPD.

Canadá

  • La definición de “Leyes y Reglamentos de Protección de Datos” incluye la Ley de Protección de la Información Personal y los Documentos Electrónicos (“PIPEDA”).
  • Los Subencargados de Bentley, como se describe en la Sección 5 (Subencargados) de este DPA, son terceros bajo PIPEDA, con los que Bentley ha celebrado un contrato escrito que incluye condiciones sustancialmente similares a este DPA. Bentley ha llevado a cabo la diligencia debida pertinente en sus Subencargados.

Israel:

  • La definición de "Leyes y Reglamentos de Protección de Datos" incluye la Ley de Protección de la Privacidad ("PPL").
  • La definición de "Responsable" incluye "Propietario de la base de datos" como se define en PPL.
  • La definición de "Encargado" incluye "Titular" como se define en PPL.

Japón:

  • La definición de "Leyes y Reglamentos de Protección de Datos" incluye la Ley sobre Protección de la Información Personal ("APPI").
  • La definición de “Datos Personales” incluye “Información personal” tal como se define de acuerdo con APPI.
  • La definición de "Encargado" incluye "Operador comercial" como se define en APPI. Como Operador Comercial, Bentley es responsable del manejo de los datos personales en su poder.
  • La definición de "Encargado" incluye un operador comercial confiado por el Operador Comercial con el manejo de datos personales en su totalidad o en parte (también un "administrador"), como se describe bajo la APPI. Como administrador, Bentley garantizará que el uso de los datos personales confiados se controle de forma segura.

México

  • La definición de “Leyes y Reglamentos de Protección de Datos” incluye la Ley Federal para la Protección de Datos Personales en Posesión de Particulares y sus Reglamentos (“FLPPIPP E”).

Singapur

  • La definición de "Leyes y Reglamentos de Protección de Datos" incluye la Ley de Protección de Datos Personales 2012 ("PDPA"). Bentley tratará los Datos Personales según un elevado estándar de protección de conformidad con la PDPA mediante la implementación de las medidas técnicas y organizativas adecuadas según lo establecido en la Sección 6 (Seguridad) de este DPA y cumpliendo con las condiciones del Acuerdo.

Suiza

  • La definición de "Leyes y Reglamentos de Protección de Datos" incluye la Ley Federal Suiza de Protección de Datos.
  • Cuando Bentley emplea a un Subencargado bajo la Sección 5 (Subencargado) de este DPA,: (a) requerirá que cualquier Subencargado designado proteja los Datos del Suscriptor con el estándar exigido por las Leyes y Reglamentos de Protección de Datos, como, por ejemplo, incluir las mismas obligaciones de protección de datos a que se refiere el artículo 28 (3) del GDPR, en particular proporcionando garantías suficientes para implementar las medidas técnicas y organizativas apropiadas de tal manera que el tratamiento cumpla con los requisitos del GDPR; y b) exigirá a cualquier Subencargado designado que (i) acuerde por escrito tratar únicamente datos personales en un país que el Reino Unido haya declarado tener un nivel de protección “adecuado” o que (ii) trate únicamente datos personales en términos equivalentes a las Cláusulas Contractuales estándar de la UE o de conformidad con una aprobación de Normas Corporativas Vinculantes concedido por las autoridades competentes de protección de datos del Reino Unido.

Reino Unido (R. U.):

  • Las referencias en este DPA al GDPR se considerarán como referencias a las leyes correspondientes del Reino Unido (incluido el GDPR del Reino Unido y la Ley de Protección de Datos de 2018).
  • Cuando Bentley emplea a un Subencargado bajo la Sección 5 (Subencargado) de este DPA,: (a) requerirá que cualquier Subencargado designado proteja los Datos del Suscriptor con el estándar exigido por las Leyes y Reglamentos de Protección de Datos, como, por ejemplo, incluir las mismas obligaciones de protección de datos a que se refiere el artículo 28 (3) del GDPR, en particular proporcionando garantías suficientes para implementar las medidas técnicas y organizativas apropiadas de tal manera que el tratamiento cumpla con los requisitos del GDPR; y b) exigirá a cualquier Subencargado designado que (i) acuerde por escrito tratar únicamente datos personales en un país que el Reino Unido haya declarado tener un nivel de protección “adecuado” o que (ii) trate únicamente datos personales en términos equivalentes a las Cláusulas Contractuales estándar de la UE o de conformidad con una aprobación de Normas Corporativas Vinculantes concedido por las autoridades competentes de protección de datos del Reino Unido.
  • Sin perjuicio de cualquier disposición en contrario que se encuentre en este DPA o en al Acuerdo (incluidas, entre otras, las obligaciones de indemnización de cualquiera de las partes), ninguna de las partes será responsable de ninguna multa contemplada en el GDPR del R. U. emitida o impuesta en virtud del artículo 83 del GDPR del R. U. contra la otra parte por un organismo regulador u organismo gubernamental en relación con la violación del GDPR del R. U. por dicha otra parte.

Guiémosle hacia la respuesta correcta o contacte a un agente.

Logo negro de Bentley Systems
Explorar
Software
Licencias y suscripciones
Mi cuenta/Crear perfil
Tienda de software
Construya con nosotros
Profesores y estudiantes
Desarrolladores
Investigación de productos
Legal

Información legal
Centro de confianza

Empresa
Acerca de Bentley Systems
Carreras
Contáctenos
Inversionistas
Noticias
Eventos
Blog
Year in Infrastructure
Factores ASG
Infrastructure Yearbook
Boletín informativo sobre moneda digital
COP
Soporte
Centro de apoyo
Capacitación
Servicios
Bentley Communities
Inversiones
Fondo iTwin Ventures de Bentley
Empresas y socios

Socios de ventas y de capacitación
Seequent, la empresa de Bentley para subsuelo
Cohesive

Política de privacidad | Condiciones de uso | Cookies

Facebook LinkedIn YouTube Instagram
© 2024 Bentley Systems, incorporated

Celebre la excelencia en la entrega y el rendimiento de la infraestructura

El Evento Year in Infrastructure y Premios Going Digital Awards 2024

¡Nomine un proyecto para los premios más prestigiosos en infraestructura! El plazo ampliado para participar termina el 29 de abril.

Nomine un proyecto