Términos para el Tratamiento de Datos de YouTube
Vigente a partir del 24 de noviembre de 2020 (consulta la versión anterior)
Los presentes Términos para el Tratamiento de Datos de YouTube (incluyendo sus anexos, "Términos para el Tratamiento de Datos") serán aplicables al tratamiento de los Datos Personales del Cliente. Los presentes términos se incorporan como anexo al contrato celebrado entre usted ("Cliente") y Google en relación a la utilización que usted hace del servicio de YouTube (el "Contrato"). Dicho Contrato podrá incluir los Términos de Servicio de YouTube o un contrato de licencia de contenido, según resulte aplicable para el Cliente. Por favor, tómese el tiempo para leer cuidadosamente los presentes Términos para el Tratamiento de Datos.
1. Introducción
Los presentes Términos para el Tratamiento de Datos reflejan la aceptación de las partes a los términos que gobiernan el tratamiento y seguridad de los Datos Personales del Cliente, en relación con la Legislación Europea de Protección de Datos.
2. Definiciones e Interpretación
2.1 En los presentes Términos para el Tratamiento de Datos:
"Afiliada," en caso de que no sea un término ya definido en el Contrato, significa la entidad que directa o indirectamente controla a, es controlada por, o se encuentra bajo control común de, una de las partes.
"Datos Personales del Cliente" significa el contenido de audio y audiovisual que el Cliente sube a YouTube bajo los términos del Contrato y que es tratado por Google por instrucciones del Cliente cuando Google presta los Servicios de Tratamiento.
"Incidente de Datos" significa una violación a la seguridad de Google, misma que tiene como consecuencia la destrucción, pérdida, alteración, divulgación no autorizada o acceso a los Datos Personales del Cliente en los sistemas administrados por, o controlados por, Google. No se considera un "Incidente de Datos" si no incluye intentos fallidos o actividades que no comprometan la seguridad de los Datos Personales del Cliente, incluyendo los intentos fallidos de inicio de sesión, pings, exploración de puertos, ataques de denegación de servicios y otros ataques a los firewalls de las redes o a los sistemas de red.
"Herramienta del Titular de los Datos" significa una herramienta (si la hubiera) puesta a disposición por Google, la cual habilita a Google para responder de manera directa y estandarizada a ciertas solicitudes de titulares de datos en relación a los Datos Personales del Cliente (por ejemplo, los ajustes de publicidad en línea o una opción de anular el plugin (extensión) de navegador.
"EEA" significa el Área Económica Europea.
"GDPR de la UE" significa la Regulación (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de Abril de 2016, del tema de la protección de las personas físicas con respecto al tratamiento de datos personales y del movimiento libre de dichos datos, y la Directiva derogada 95/46/EC.
"Legislación Europea de Protección de Datos" significa, según sea aplicable: (a) la GDPR; (b) la Ley Federal de Protección de Datos del 19 de junio de 1992 (Suiza); (c) la Ley General de Protección de Datos de Brasil (Ley N° 13709/2018); y/o (d) cualquier otra ley o normativa de protección de datos aplicable basada en el Reglamento General de Protección de Datos.
“Legislación europea o nacional” se refiere, según corresponda a: (a) la legislación de la UE o del Estado Miembro de la UE (si la GDPR de la UE se aplica al tratamiento de los Datos Personales del Cliente); y/o (b) la legislación del Reino Unido o de una parte del Reino Unido (si la GDPR del Reino Unido se aplica al tratamiento de los Datos Personales del Cliente).
“GDPR” significa, según corresponda: (a) la GDPR europea; y/o (b) la GDPR del Reino Unido.
"Google" significa la Entidad de Google que actúa como parte en el Contrato que usted celebró con Google.
"Sub-Encargado del tratamiento, Afiliada de Google" tiene el significado que se le otorga en la Sección 11.1 (Consentimiento a la Participación del Sub-Encargado del tratamiento).
"Entidad de Google" significa YouTube LLC, Google LLC (antes conocida como Google Inc.), Google Ireland Limited, YouTube, LLC o cualquier otra Afiliada de Google LLC.
"CERTIFICACIÓN ISO 27001" significa la certificación ISO/IEC 27001:2013 o alguna certificación comparable que resulte aplicable a los Servicios de Tratamiento.
"Dirección de Correo Electrónico para Notificaciones" significa la dirección de correo electrónico (si la hubiere) designada por el Cliente por medio de la interface de usuario del Servicio de Procesamiento, o por cualquier otros medios que sean proporcionados por Google, y que ha sido designada para recibir ciertas notificaciones de Google relacionadas con los presentes Términos para el Tratamiento de Datos.
"Servicios de Tratamiento" es el tratamiento de los Datos Personales del Cliente de acuerdo con los presentes Términos para el Tratamiento de Datos.
"Documentación de Seguridad" significa el certificado emitido por la certificación ISO 27001, si lo hubiera, y cualquier otra certificación de seguridad o documentación que Google haga disponible en relación a los Servicios de Tratamiento.
"Medidas de Seguridad" tiene el significado que se les otorga en la Sección 7.1.1 (Medidas de Seguridad de Google).
"Cláusulas Contractuales Estándar" hace referencia a las cláusulas contractuales estándar de la Comisión Europea en https://privacy.google.com/businesses/gdprprocessorterms/sccs/, que son términos estándar de protección de datos para la transferencia de datos personales a procesadores establecidos en terceros países que no garantizan un nivel adecuado de protección de datos, como se describe en el artículo 46 del GDPR de la UE.
"Sub-Encargado(s) del tratamiento" son aquellos terceros que se encuentran autorizados bajo los presentes Términos para el Tratamiento de Datos para tener acceso lógico a los Datos Personales del Cliente, para tratarlos y para prestar porciones de los Servicios de Tratamiento, así como las actividades de soporte técnico que correspondan.
“Autoridad de control” se refiere, según corresponda: (a) una “autoridad de control” como se define en la GDPR de la UE; y/o (b) el “Comisario”, como se define en la GDPR del Reino Unido.
"Terceros Sub-Encargado del tratamiento" tiene el significado que se le otorga a éste término en la Sección 11.1 (Consentimiento a la Participación del Sub-Encargado del tratamiento).
“GDPR del Reino Unido” se refiere la GDRP tal como se la enmendó e incorporó a la legislación del Reino Unido en virtud de la Ley del 2018 sobre el abandono del Reino Unido de la Unión Europea, si está en vigor.
2.2 Los términos "encargado", "titular", "datos personales", "tratamiento" y "responsable", como se utilizan en los presentes Términos para el Tratamiento de Datos, tendrán el significado que se les otorga a éstos en el GDPR, y los términos "importador de datos" y "exportador de datos" tienen los significados dados en las Cláusulas Contractuales Estándar.
2.3 Cualquier referencia a un marco regulatorio, ley o cualquier otra disposición legislativa se considera una referencia a dicho ordenamiento, en el entendido que el mismo puede ser reformado de tiempo en tiempo.
2.4 El texto de estos Términos para el Tratamiento de Datos es una versión traducida de su versión original en inglés, la cual puede encontrarse en https://www.youtube.com/t/terms_dataprocessing. En caso de discrepancias entre el texto de estos Términos para el Tratamiento de Datos y su versión original en inglés, prevalecerá el texto en inglés.
3. Duración de los presentes Términos para el Tratamiento de Datos
La vigencia ("Vigencia") de los presentes Términos para el Tratamiento de Datos y de las disposiciones relativas a los Servicios de Tratamiento de Google, iniciará el 25 de Mayo de 2018 (o en la fecha del Contrato que corresponda, en caso de que dicha fecha ocurra con posterioridad al 25 de Mayo de 2018) ("Fecha de Vigencia") y continuará en vigor hasta que Google elimine la totalidad de los Datos Personales del Cliente en los términos que se describen en los presentes Términos para el Tratamiento de Datos.
4. Aplicación de los presentes Términos para el Tratamiento de Datos
4.1 Aplicación de la Legislación Europea de Protección de Datos. Los presentes Términos para el Tratamiento de Datos únicamente aplicarán en la medida en que la Legislación Europea de Protección de Datos aplique al tratamiento de los Datos Personales del Cliente, incluyendo los siguientes:
(a) si el tratamiento se realiza en el contexto de las actividades de un establecimiento del Cliente ubicado en la EEA o el Reino Unido; y/o
(b) los Datos Personales del Cliente son datos personales concernientes a titulares de datos que están ubicados en la EEA o el Reino Unido y el tratamiento de datos se relaciona con oferta de bienes o servicios que se hacen a dichos titulares, o con el monitoreo del comportamiento de dichos titulares en la EEA o el Reino Unido.
5. Tratamiento de Datos
5.1 Roles y Cumplimiento Regulatorio; Autorización.
5.1.1 Responsabilidades del Encargado y del Responsable.
(a) Los presentes Términos para el Tratamiento de Datos describen el objeto y los detalles del tratamiento de los Datos Personales del Cliente;
(b) Google actúa como un encargado de los Datos Personales del Cliente, de conformidad con la Legislación de Protección de Datos; y
(c) El Cliente podrá actuar como encargado o como responsable, según resulte aplicable, de acuerdo con la Legislación de Protección de Datos respecto del tratamiento de Datos Personales del Cliente.
(d) Cada parte cumplirá con sus obligaciones aplicables bajo la Legislación de Protección de Datos respecto al Tratamiento de Datos Personales del Cliente.
5.1.2 Autorización por un Tercero Responsable. En caso de que un Cliente actúe como encargado, el Cliente garantiza a Google que las instrucciones y acciones que ejecute el Cliente con respecto a los Datos Personales del Cliente, incluyendo la designación de Google como un encargado, han sido previamente autorizadas por el responsable correspondiente.
5.2 Instrucciones del Cliente. El Cliente instruye a Google para que Google trate los Datos Personales del Cliente únicamente de conformidad con las leyes aplicables y de acuerdo a los presentes Términos para el Tratamiento de Datos: (a) para proveer los Servicios de Tratamiento y cualquier servicio de soporte técnico relacionado; (b) para proveer los Servicios de Tratamiento de conformidad con las especificaciones que realice el Cliente cuando usa los Servicios de Tratamiento (incluyendo las especificaciones que indique a través de la configuración de su cuenta (settings) o a través de otras funcionalidades del Servicio de Tratamiento) y cualquier servicio de soporte técnico relacionado; y (c) como establezca el Contrato, incluyendo los presentes Términos para el Tratamiento de Datos.
5.3 El Cumplimiento de Google con las Instrucciones. Google cumplirá con las instrucciones descritas en la Sección 5.2 (Instrucciones del Cliente) (incluidas las relativas a la transferencia de datos) a menos que la legislación nacional o de la UE a la que Google esté sujeta requiera otro tratamiento por parte de Google para los Datos Personales del Cliente; en dicho caso Google informará esta situación al Cliente (a menos de que la ley le prohíba a Google revelar esta información por razones importantes de interés público).
6. Eliminación de Datos
6.1 Eliminación Durante la Vigencia.
6.1.1 Servicios de Tratamiento que contemplen una funcionalidad de Eliminación. Durante la Vigencia, Google eliminará los Datos Personales del Cliente de sus sistemas en los siguientes casos:
(a) cuando la funcionalidad del Servicios de Tratamiento incluya la opción para que el Cliente elimine los Datos Personales del Cliente;
(b) cuando el Cliente utilice el Servicio de Tratamiento para eliminar cierta información de los Datos Personales del Cliente; y
(c) cuando los Datos Personales del Cliente que hayan sido eliminados no podrán ser recuperados por el Cliente (por ejemplo, de la "papelera")
Google eliminará los Datos Personales del Cliente, tan pronto como le sea posible, a menos de que la legislación nacional o de la UE requiera que dicha información sea conservada.
6.1.2 Servicios de Tratamiento que no contemplen una funcionalidad de eliminación. Durante la Vigencia, si las funcionalidades de los Servicios de Tratamiento no incluyen una opción para que el Cliente elimine los Datos Personales del Cliente, Google recibirá y procesará las solicitudes de eliminación formuladas por Clientes que resulten razonables, siempre y cuando la eliminación resulte posible atendiendo a la naturaleza y funcionalidad de los Servicios de Tratamiento, a menos que la legislación nacional o de la UE requiera que dicha información sea conservada. Google podrá cobrar una contraprestación al Cliente (calculada con base en los costos en los que Google razonablemente incurra) con relación a cualquier eliminación de datos relacionada con esta Sección 6.1.2 (Servicios de Tratamiento Sin Función de Eliminado). Antes de realizar cualquier eliminación de datos, Google le proporcionará al Cliente más detalles sobre las contraprestaciones aplicables y las bases para el cálculo de dichas contraprestaciones.
6.2 Eliminación derivada de la terminación del Contrato. En caso de que concluya la Vigencia del Contrato o el mismo se de por terminado y el Cliente solicite a Google la eliminación de todos los Datos Personales del Cliente (incluyendo las copias existentes) de los sistemas de Google de acuerdo con la leyes aplicables. Google deberá cumplir con dicha instrucción tan pronto como le sea posible, a menos que: (i) la legislación nacional o de la UE requiera que dicha información sea conservada; o (ii) el Contrato sea sustituido por un nuevo contrato o nuevos términos entre el Cliente y Google, respecto de la utilización del Cliente de los servicios de YouTube y que el Cliente confirme que los Datos Personales del Cliente (incluyendo las copias existentes que ya se hayan subido al Servicio de YouTube) deberán de continuar tratándose de acuerdo con los presentes Términos para el Tratamiento de Datos.
7. Seguridad de los Datos
7.1 Medidas de Seguridad y Asistencia de Google.
7.1.1 Medidas de Seguridad de Google. Google implementará y mantendrá las medidas técnicas y organizacionales para proteger los Datos Personales del Cliente de su destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso, tal y como se describe en el Anexo 2 (las "Medidas de Seguridad"). Google podrá actualizar o modificar las Medidas de Seguridad de tiempo en tiempo, siempre y cuando dichas actualizaciones y modificaciones no resulten en el deterioro de la seguridad general del Servicio de Tratamiento.
7.1.2 Cumplimiento del Personal de Google con la Seguridad. Google se asegurará que todas las personas que se encuentren autorizadas para tratar los Datos Personales del Cliente hayan asumido un compromiso de confidencialidad o estén bajo una obligación legal de confidencialidad.
7.1.3 Asistencia de Seguridad de Google. Google (tomando en consideración la naturaleza del tratamiento de los Datos Personales del Cliente y la información disponible para Google) ayudará al Cliente a garantizar el cumplimiento de las obligaciones del Cliente respecto de la seguridad de los datos personales y las violaciones de los datos personales, incluyendo (en caso de que apliquen) las obligaciones del Cliente de conformidad con los Artículos 32 al 34 de la GDPR, al:
(a) implementar y mantener las Medidas de Seguridad de acuerdo con la Sección 7.1.1 (Medidas de Seguridad de Google);
(b) cumplir con los términos de la Sección 7.2 (Vulneraciones de Datos); y
(c) proporcionar al Cliente la Documentación de Seguridad a la que se refiere la Sección 7.5.1 (Revisiones de los Documentos de Seguridad) y de la información contenida en los presentes Términos para el Tratamiento de Datos.
7.2 Incidente de Datos.
7.2.1 Notificación del Incidente. Si Google llega a tener conocimiento de un Incidente de Datos, Google: (a) le notificará al Cliente de dicho Incidente de Datos con rapidez y sin demora alguna; y (b) rápidamente tomará las medidas razonables para minimizar el daño y asegurar los Datos Personales del Cliente.
7.2.2 Detalles del Incidente de Datos. Las notificaciones hechas de acuerdo con la Sección 7.2.1 (Notificaciones de Incidente) describirán, en la medida de lo posible, los detalles del Incidente de Datos, incluyendo los pasos a tomar para reducir el potencial riesgo y las acciones que Google recomienda al Cliente adoptar para atender el Incidente de Datos.
7.2.3 Entrega de la Notificación. Google entregará dicha notificación, a la dirección de correo electrónico o por cualquier otra manera de comunicación directa, de cualquier Incidente de Datos (por ejemplo, por llamada de teléfono o reunión personal). El Cliente tomará medidas razonables para proveer la Dirección de Correo Electrónico para Notificaciones y se asegurará de que la Dirección de Correo Electrónico se encuentre vigente y sea válida.
7.2.4 Notificaciones de Terceros. El Cliente es el único responsable por cumplir con las leyes de notificación de incidentes que le sean aplicables al Cliente y de cumplir con las obligaciones de notificaciones a terceros que estén relacionados con las Vulneraciones de Datos.
7.2.5 No aceptación de la culpa por parte de Google. La notificación que realice Google o la respuesta al Incidente de Datos que Google lleve a cabo en los términos de la presente Sección 7.2 (Incidente de Datos), no deberán ser interpretadas como una aceptación por parte de Google de culpa o responsabilidad alguna respecto al Incidente de Datos.
7.3 Responsabilidades de Seguridad y Evaluación del Cliente.
7.3.1 Responsabilidades de Seguridad del Cliente. Sin perjuicio de las obligaciones de Google conforme a las Secciones 7.1 (Medidas de Seguridad y Asistencia de Google) y 7.2 (Incidente de Datos):
(a) El Cliente es responsable respecto a su utilización de los Servicios de Tratamiento,
incluyendo:
(i) realizar un uso apropiado de los Servicios de Tratamiento para asegurar un nivel de
seguridad apropiado para el riesgo con respecto de los Datos Personales del Cliente; y
(ii) asegurar las credenciales de autentificación de la cuenta, sistemas y dispositivos que el Cliente utiliza para acceder a los Servicios de Tratamiento; y
(b) Google no tiene la obligación de proteger los Datos Personales del Cliente que el Cliente elija guardar o transferir fuera de Google y de los sistemas de los Sub-Encargados del tratamiento de Google.
7.3.2 Evaluación de la Seguridad del Cliente. El Cliente reconoce y acepta que (tomando en consideración el estado de la técnica, los costos de implementación y la naturaleza, alcance, contexto y propósitos del tratamiento de los Datos Personales del Cliente así como los riesgos a personas) las Medidas de Seguridad implementadas y mantenidas por Googles, según se establece en la Sección 7.1.1 (Medidas de Seguridad de Google) proporcionan un nivel de seguridad adecuado con relación al riesgo respecto de los Datos Personales del Cliente.
7.4 Certificación de Seguridad. Para evaluar y poder asegurarse de la efectividad continua de las Medidas de Seguridad, de tiempo en tiempo, Google podrá obtener la Certificación ISO 27001.
7.5 Revisiones y Auditorías de Cumplimiento.
7.5.1 Revisiones de la Seguridad de la Documentación. A fin de evidenciar el cumplimiento de las obligaciones establecidas en los presentes Términos para el Tratamiento de Datos, Google pondrá a disposición de los Clientes, para su revisión, la Documentación de Seguridad.
7.5.2 Derechos de Auditoría del Cliente.
(a) Google permitirá al Cliente o a un tercero, auditor, señalado por el Cliente, realizar auditorías (incluyendo inspecciones) para verificar el cumplimiento de Google de sus obligaciones contenidas en los presentes Términos para el Tratamiento de Datos, de conformidad con la Sección 7.5.3 (Términos Comerciales Adicionales para Auditorías). Google contribuirá con dichas auditorías según se describe en la Sección 7.4 (Certificación de Seguridad) y en la presente Sección 7.5 (Revisiones y Auditorías de Cumplimiento)
(b) Si se aplican las Cláusulas Contractuales Estándar según la Sección 10.2 (Transferencias de los Datos), Google permitirá al Cliente o un auditor externo designado por el Cliente realizar auditorías como se describe en las Cláusulas Contractuales Estándar de acuerdo con la Sección 7.5.3 (Condiciones Comerciales Adicionales para Auditorías).
(c) El Cliente podrá realizar su auditoría para verificar el cumplimiento de Google respecto de sus obligaciones establecidas en los presentes Términos para el Tratamiento de Datos, mediante la revisión del certificado derivado de la Certificación ISO 27001 (certificado que refleja el resultado de la auditoría realizada por un tercero auditor), si dicha certificación está disponible cuando el Cliente la solicite.
7.5.3 Términos Comerciales Adicionales para Auditorías.
(a) cualquier solicitud, enviada por el Cliente a Google, deberá ser enviada conforme a la Sección 7.5.2(a) o 7.5.2(b) como se describe en la Sección 12.1 (Contactando a Google).
(b) Tras la recepción de una solicitud por parte de Google, conforme a la Sección 7.5.3 (a), Google y el Cliente discutirán y acordarán por adelantado, una fecha razonable en la que podría iniciarse la auditoría y el alcance, la duración y los controles de seguridad y confidencialidad aplicables a la misma, de conformidad con la Sección 7.5.2(a) o 7.5.2(b).
(c) Google podrá cobrar una contraprestación (contraprestación que será calculada conforme a los costos razonables en los que incurra Google) respecto a cualquier auditoría descrita en la Sección 7.5.2(a) o 7.5.2(b). Google le proporcionará al Cliente, antes de la auditoría, detalles adicionales respecto de las contraprestaciones aplicables, y las bases utilizadas para dicho cálculo. El Cliente será responsable de pagar los honorarios que genere cualquier tercero auditor que haya sido designado por el Cliente para realizar la auditoría.
(d) Google podrá oponerse a que un tercero auditor designado por el Cliente realice una auditoría de las señaladas en la Sección 7.5.2(a) o 7.5.2(b) en caso de que dicho auditor, en la opinión razonable de Google, no se encuentre debidamente capacitado, no resulte independiente, sea un competidor de Google o que resulte evidentemente no apto para la auditoría. En caso de realizar una objeción del auditor, Google pedirá al Cliente que designe a otro auditor o que realice por sí mismo la auditoría.
(e) Nada en los presentes Términos para el Tratamiento de Datos le requerirá a Google, ya sea divulgar al Cliente o a su tercero auditor, o el permitirle al Cliente o su tercero auditor el acceso a:
(i) cualquier dato de cualquier cliente de la Entidad de Google;
(ii) cualquier información de contabilidad o financiera interna de la Entidad de Google;
(iii) cualquier secreto industrial de la Entidad de Google;
(iv) cualquier información que el Cliente o su tercero auditor busque para acceder por cualquier otra razón diferente al cumplimiento de las obligaciones del Cliente de buena fe, de conformidad con la Legislación de Protección de Datos.
(v) cualquier información que el Cliente o su tercero auditor busque para acceder por cualquier otra razón diferente al cumplimiento de las obligaciones del Cliente de buena fe, de conformidad con la Legislación de Protección de Datos.
7.5.4 No Modificación de las Cláusulas Contractuales Estándar. Si las Cláusulas Contractuales Estándar se aplican en virtud de la Sección 10.2 (Transferencias de los Datos), nada en esta Sección 7.5 (Revisiones y Auditorías de Cumplimiento) varía o modifica los derechos u obligaciones del Cliente o una Entidad de Google en virtud de las Cláusulas Contractuales Estándar.
8. Evaluaciones de Impacto y Consultas
Google (tomando en consideración la naturaleza del tratamiento y de la a disposición de Google) apoyará al Cliente para asegurarse del cumplimiento de cualquier obligación del Cliente con respecto de las evaluaciones de impacto de protección de datos y consultas previas (en caso de que resulten aplicables) de las obligaciones del Cliente, conforme a los Artículos 35 y 36 de la GDPR, al:
(a) proporcionar la Documentación de Seguridad de acuerdo a la Sección 7.5.1 (Revisiones de la Documentación de Seguridad);
(b) proporcionar la información contenida en los presentes Términos para el Tratamiento de Datos; y
(c) proporcionar o de otra manera poner a disponibilidad, de acuerdo con las prácticas estándar de Google, otro material respecto de la naturaleza de los Servicios de Tratamiento y el Tratamiento de los Datos Personales del Cliente (por ejemplo, materiales del centro de ayuda).
9. Derechos del Titular de Datos
9.1 Respuesta a las Solicitudes del Titular de Datos. Si Google recibe una solicitud de un titular en relación a los Datos Personales del Cliente, Google:
(a) si la solicitud fue hecha por medio de la Herramienta del Titular, Google responderá directamente a la solicitud del titular de acuerdo a la funcionalidad estándar de la Herramienta del titular; o
(b) si la solicitud no fue hecha por medio de la Herramienta del Titular, Google recomendará al titular que presente su solicitud al Cliente, y el Cliente será el responsable de responder a dicha solicitud.
9.2 Apoyo de Google a las Solicitudes hechas por el Titular. Google (tomando en consideración la naturaleza del resto del tratamiento de los Datos Personales del Cliente y, en caso que aplique el Artículo 11 de la GDPR) apoyará al Cliente para que éste cumpla con cualquier obligación del Cliente de responder a las solicitudes de los titulares, incluyendo (si es aplicable) las obligaciones del Cliente para responder a las solicitudes en el ejercicio de los derechos del titular establecidos en el Capítulo III de la GDPR, al:
(a) proporcionar la funcionalidad de los Servicios de Tratamiento;
(b) cumplir con los compromisos estipulados en la Sección 9.1 (Respuestas a las Solicitudes de los Titulares); y
(c) en caso que sea aplicable al Servicio de Tratamiento, hacer disponibles las Herramientas del Titular.
10. Transferencias de Datos
10.1 Instalaciones en donde se realiza el Tratamiento y Almacenamiento de Datos. Google podrá, sujeto a la Sección 10.2 (Transferencias de Datos), almacenar y tratar los Datos Personales del Cliente en los Estados Unidos de América y cualquier otro país en el que Google o cualquiera de sus Sub-Encargados del tratamiento cuente con instalaciones.
10.2 Transferencias de los Datos. Si el almacenamiento y/o procesamiento de Datos Personales del Cliente implica transferencias de Datos Personales del Cliente desde el EEA, Suiza, o el Reino Unido a cualquier tercer país que no esté sujeto a una decisión de adecuación en virtud de la Legislación Europea de Protección de Datos:
(a) Se considerará que el Cliente (como exportador de datos) ha suscrito las Cláusulas Contractuales Estándar con Google LLC (como importador de datos);
(b) las transferencias estarán sujetas a las Cláusulas Contractuales Estándar; y
(c) Google se asegurará de que Google LLC cumpla con sus obligaciones bajo dichas Cláusulas Contractuales Estándar con respecto a dichas transferencias.
10.3 Información del Centro de Datos. La Información de las ubicaciones de los centros de datos de Google está disponible en: www.google.com/about/datacenters/inside/locations/index.html.
11. Sub-Encargado del Tratamiento
11.1 Consentimiento para la Participación de un Sub-Encargado del Tratamiento. El Cliente, específicamente, autoriza y consiente, la participación de las Afiliadas de Google como Sub-Encargados del tratamiento ("Sub-Encargado del Tratamiento Afiliadas de Google"). Además el Cliente de manera general autoriza la participación en el tratamiento de terceros como Sub-Encargados del Tratamiento ("Terceros Sub-Encargado del Tratamiento"). Si las Cláusulas Contractuales Estándar se aplican en virtud de la Sección 10.2 (Transferencias de los Datos), las autorizaciones anteriores constituyen el consentimiento previo por escrito del Cliente a la subcontratación por parte de Google LLC del procesamiento de los Datos Personales del Cliente.
11.2 Información sobre los Sub-Encargado del tratamiento. La información sobre los Sub-Encargado del tratamiento está disponible en privacy.google.com/business/subprocessors.
11.3 Requerimientos para la Participación de los Sub-Encargados del tratamiento. Cuando participe cualquier Sub-Encargado del tratamiento, Google:
(a) se asegurará, por medio de un contrato por escrito, que:
(i) el Sub-Encargado del tratamiento únicamente acceda y utilice los Datos Personales del Cliente en la medida que este acceso y uso resulte necesario para ejecutar las obligaciones para las que fue subcontratado, y que este tratamiento sea realizado de acuerdo con el Contrato (incluyendo los presentes Términos para el Tratamiento de Datos) y si corresponde en virtud de la Sección 10.2 (Transferencia de los Datos), las Cláusulas Contractuales Estándar; y
(ii) en caso de que aplique la GDPR al tratamiento de los Datos Personales del Cliente, las obligaciones de protección de datos establecidas en el Artículo 28(3) de la GDPR sean impuestas al Sub-Encargado del tratamiento; y
(b) es totalmente responsable por todas las obligaciones subcontratadas, y por todas las acciones y omisiones, del Sub-Encargado del tratamiento.
12. Contactando a Google; Registros del Tratamiento
12.1 Contactando a Google. El Cliente podrá contactar a Google en relación con el ejercicio de sus derechos establecidos en los presentes Términos para el Tratamiento de Datos por medio de los métodos que se describen en https://support.google.com/youtube/answer/2801895 o por medio de cualesquiera otros medios que puedan ser proporcionados por Google de tiempo en tiempo.
12.2 Registros del Tratamiento. El Cliente reconoce que Google, por requisito de la GDPR, necesita: (a) recabar y mantener los registros de cierta información, incluyendo el nombre y detalles de contacto de cada encargado y/o responsable en nombre de los cuales Google está actuando y (en caso que aplique) del representante local y del oficial de protección de datos de dicho encargado o responsable; y b) tener dicha información disponible para todas las autoridades supervisoras. Del mismo modo, el Cliente deberá, cuando le sea requerido y en lo que le sea aplicable, proporcionar dicha información a Google, y utilizará dicha interfaz de usuario u otros medios necesarios para asegurarse que toda la información que proporcione se mantenga correcta y actualizada.
13. Responsabilidad
13.1 Límite de responsabilidad. Sin perjuicio de lo previamente establecido en el Contrato, la totalidad de la responsabilidad acumulada de cualquiera de las partes hacia la otra parte, sobre o en relación con los presentes Términos para el Tratamiento de Datos, se limitará al monto monetario máximo o al monto basado en pago, al cual dicha parte limitó su responsabilidad en el Contrato (para efectos de claridad, en caso de que las partes hayan excluido las reclamaciones de confidencialidad o alguna obligación de indemnizar de la limitación de responsabilidad, dicha exclusión no aplicará a las reclamaciones del Contrato relacionadas con la Legislación Europea de Protección de Datos). Nada en la presente Sección 13 (Responsabilidad) excluirá o limitará la responsabilidad de cualquiera de las partes, por: (a) muerte o lesión personal que resulte de su negligencia o de la negligencia de sus trabajadores o agentes; (b) fraude o actuación fraudulenta; o (c) asuntos por los cuales la responsabilidad no pueda ser excluida o limitada bajo las leyes aplicables.
13.2 Responsabilidad si se aplican las Cláusulas Contractuales Estándar.
Si las Cláusulas Contractuales Estándar se aplican bajo la Sección 10.2 (Transferencia de los Datos), la responsabilidad total combinada de cada parte y sus Afiliadas hacia la otra parte y sus Afiliadas bajo o en conexión con el Contrato y las Cláusulas Contractuales Estándar combinadas estarán sujetas a la Sección 13.1 (Límite de responsabilidad).
14. Terceras Partes Beneficiarias
Si el Afiliado de una de las partes es parte de las Cláusulas Contractuales Estándar que se aplican en virtud de la Sección 10.2 (Transferencia de los Datos), entonces ese Afiliado será un tercero beneficiario de las Secciones 6.2 (Eliminación derivada de la terminación del Contrato), 7.5 (Revisiones y Auditorías de Cumplimiento), 9.1 (Respuesta a las Solicitudes del Titular de Datos), 10.2 (Transferencia de los Datos), 11.1 (Consentimiento para la Participación de un Sub-Encargado del Tratamiento) y 13.2 (Responsabilidad si se aplican las Cláusulas Contractuales Estándar). En la medida en que esta Sección 14 (Terceras Partes Beneficiarias) entre en conflicto o sea inconsistente con cualquier otra cláusula del Acuerdo, se aplicará esta Sección 14 (Terceros Beneficiarios).
15. Efecto de los presentes Términos para el Tratamiento de Datos
En caso de que exista algún conflicto o inconsistencia entre las Cláusulas Contractuales Estándar, los términos de los presentes Términos para el Tratamiento de Datos y el resto del Contrato, entonces se aplicará el siguiente orden de precedencia:
(a) las Cláusulas Contractuales Estándar;
(b) el resto de estos Términos para el Tratamiento de Datos; y
(c) el resto del Contrato.
Sujeto a las modificaciones hechas a los presentes Términos para el Tratamiento de Datos, el Contrato se mantendrá en plena validez y efecto.
16. Cambios a los presentes Términos para el Tratamiento de Datos
16.1 Cambios a los Servicios de Tratamiento. Google únicamente podrá cambiar la lista de potenciales Servicios de Tratamiento:
(a) para reflejar un cambio en el nombre del servicio;
(b) para agregar un nuevo servicio; o
(c) para remover un servicio para el cual: (i) todos los contratos relacionados al servicio se encuentren terminados; o bien (ii) Google tenga el consentimiento del Cliente para remover el servicio.
16.2 Modificaciones a los Términos para el Tratamiento de Datos. Google podrá modificar los presentes Términos para el Tratamiento de Datos si el cambio:
(a) está expresamente permitido por los presentes Términos para el Tratamiento de Datos, incluyendo lo que se describe en la Sección 16.1 (Cambios a los Servicios de Tratamiento);
(b) refleja un cambio en el nombre o en la forma de una entidad legal;
(c) es necesario para cumplir con las leyes y regulaciones aplicables, una orden judicial o un criterio emitido por un órgano o agencia gubernamental; o
(d) no (i) provoca una degradación de la seguridad general de los Servicios del Tratamiento; (ii) amplía el ámbito o reduce las restricciones al tratamiento por parte de Google de los Datos Personales del Cliente, según se describe en Cláusula 5.3 (El Cumplimiento de Google con las Instrucciones); y (iii) de cualquier otro modo tiene un impacto adverso significativo sobre los derechos del Cliente con arreglo a las presentes Términos para el Tratamiento de Datos, según determine Google a su juicio razonable.
16.3 Cambios a las Cláusulas Contractuales Estándar. Google solo puede cambiar las Cláusulas Contractuales Estándar de acuerdo con las Secciones 16.2 (b) - 16.2 (d) (Modificaciones a los Términos para el Tratamiento de Datos) o para incorporar cualquier versión nueva de las Cláusulas Contractuales Estándar que puedan ser adoptadas bajo la Legislación Europea de Protección de Datos, en cada caso de forma que no afecte la validez de las Cláusulas Contractuales Estándar de la Legislación Europea de Protección de Datos.
Anexo 1: Objeto y Detalles del Tratamiento de Datos
Objeto
Las disposiciones de Google de los Servicios de Tratamiento y cualquier soporte técnico relacionado al Cliente.
Duración del Tratamiento
La Vigencia, más el tiempo que comprende la expiración de la Vigencia hasta la eliminación de todos los Datos Personales del Cliente por parte de Google de acuerdo con los presentes Términos para el Tratamiento de Datos.
Naturaleza y Propósito del Tratamiento
Google tratará (incluyendo, según sea aplicable a los Servicios de Tratamiento y a las instrucciones descritas en la Sección 5.2 (Instrucciones del Cliente), recolectar, grabar, organizar, estructurar, almacenar, modificar, recuperar, utilizar, divulgar, combinar, eliminar y destruir) los Datos Personales del Cliente con el propósito de proveer Servicios de Tratamiento y cualquier otro servicio de soporte técnico al Cliente de acuerdo a los términos de Procesamiento de Datos.
Tipos de Datos Personales
Los tipos de Datos Personales que constituyen los Datos Personales del Cliente, son audio y contenido audiovisual que es subido/cargado a Youtube por el Cliente bajo los términos del Contrato y tratado por Google a nombre del Cliente, según las disposiciones de Servicio de Tratamiento de Google.
Anexo 2: Medidas de Seguridad
A partir de la Fecha de Vigencia de los Términos, Google implementará y mantendrá las Medidas de Seguridad establecidas en el presente Anexo 2. Google podrá actualizar o modificar dichas Medidas de Seguridad de vez en cuando, siempre y cuando dichas actualizaciones y modificaciones no resulten en el detrimento de la seguridad general de los Servicios de Tratamiento.
1. Centros de Datos y Seguridad de la Red
(a) Centros de Datos.
Infraestructura. Google cuenta con Centros de Datos distribuidos geográficamente. Google almacena toda la producción de datos en centros de datos físicos seguros.
Redundancia. Los sistemas de infraestructura han sido diseñados para eliminar puntos individuales de falla y minimizar el impacto de riesgos ambientales que puedan ser anticipados. Circuitos duales, interruptores, redes u otros dispositivos necesarios ayudan a proporcionar esta redundancia. Los Servicios de Tratamiento están diseñados para permitirle a Google realizar ciertos tipos de mantenimiento, preventivo y correctivo, sin interrupción. Todo el equipamiento e instalaciones medioambientales cuentan con documentación de procedimientos de mantenimiento preventivo que detallan el proceso y la frecuencia del desempeño de acuerdo a las especificaciones del fabricante o internas. El mantenimiento preventivo y correctivo del equipo del centro de datos se encuentra calendarizado por medio de un proceso estándar de acuerdo a los procedimientos documentados.
Energía. Los sistemas de energía eléctrica del centro de datos, están diseñados para ser redundantes y sostenibles sin impacto a las operaciones continuas, 24 horas al día y los 7 días de la semana. En la mayoría de los casos, una fuente de energía primaria al igual que una fuente alterna, cada una con una misma capacidad, se proporciona para los componentes críticos de infraestructura en el centro de datos. La electricidad de respaldo se proporciona por varios mecanismos tales como las baterías de electricidad ininterrumpible (UPS), los que provén consistentemente confiable protección de suministro de electricidad durante caídas de tensión, apagones, altas de voltaje, bajas de voltaje y condiciones de frecuencia fuera de rango de tolerancia. Si el suministro de electricidad es interrumpido, la energía auxiliar está diseñada para proveer energía transitoria a los centros de datos, a máxima capacidad, por hasta 10 minutos hasta que los sistemas generadores de diesel asuman el control. Los generadores de diesel son capaces de prenderse automáticamente en unos cuantos segundos para proveer suficiente energía eléctrica de emergencia para que el centro de datos pueda operar a su máxima capacidad, normalmente por un periodo de días.
Sistemas de Operación del Servidor. Los servidores de Google utilizan sistemas operativos reforzados los cuales están hechos a la medida para las necesidades específicas del servidor para el negocio. Los datos son almacenados utilizando algoritmos propietarios para aumentar la seguridad y redundancia de los datos. Google emplea un proceso de revisión del código para incrementar la seguridad del código que se utiliza para proveer los Servicios de Tratamiento y enriquecer los productos de seguridad en los ambientes de producción.
Continuidad del Negocio. Google replica los datos en múltiples sistemas para ayudar en protegerlos en contra de destrucción o pérdida. Google ha diseñado y regularmente planea y pone a prueba su planeación de continuidad de negocio/programa de recuperación ante desastres.
(b) Redes y Transmisión.
Transmisión de Datos. Los centros de datos están tradicionalmente conectados a través de ligas privadas de alta velocidad para proveer una rápida y segura transferencia de datos entre los centros de datos. Esto está diseñado para prevenir que los datos sean leídos, copiados, alterados o removidos sin autorización durante una transferencia electrónica o de transporte o mientras están siendo grabados a un medio de almacenamiento de datos. Google transfiere los datos por medio de los protocolos estándar de Internet.
Superficie de Ataques Externos. Google utiliza múltiples niveles de dispositivos de redes y detección de intrusión para proteger su superficie de ataques externos. Google considera potenciales vectores de ataque e incorpora tecnologías construidas para este propósito a los sistemas que ven hacia el exterior.
Detección de Intrusos. La detección de intrusos es intencionada para proporcionar conocimiento de las actividades de ataques que están sucediendo y proporcionar información adecuada para responder a dichos incidentes. La detección de intrusos de Google implica:
1. Controlar apretadamente el tamaño y la configuración de la superficie del ataque a Google al través de medidas preventivas;
2. Emplear controles de detección inteligente en los puntos de entrada de datos; y
3. Emplear tecnologías que corrigen automáticamente ciertas situaciones peligrosas.
Respuesta a Incidentes. Google monitorea una variedad de canales de comunicación por incidentes de seguridad, y el personal de seguridad de Google reaccionara puntualmente a los incidentes reconocidos.
Tecnologías de Encriptamiento. Google hace disponible el encriptamiento HTTPS (también conocido como conexión SSL o TLS). Los servidores de Google apoyan el intercambio de la curva elíptica efímera Diffie Hellman criptográfica llave firmado con RSA y ECDSA. Estos métodos de secrecía avanzada perfecta (PFS) ayudan a proteger el tráfico y minimizan el impacto de una llave comprometida, o un ruptura criptográfica.
2. Acceso y Controles del Sitio
(a) Controles del Sitio.
Operación de Seguridad en el Sitio del Centro de Datos. Los centros de datos de Google cuentan con una operación de seguridad en sitio responsable de todas las funciones físicas de seguridad de datos las 24 horas del día, 7 días a la semana. El personal de operación de seguridad en sitio monitorea las cámaras de un Circuito Cerrado de TV (“CCTV”) y todos los sistemas de alarma. El personal de operación de seguridad en sitio desempeña patrullajes internos y externos del Centro de Datos constantemente.
Procedimientos del Acceso a los Centros de Datos. Google mantiene procedimientos de acceso formales para permitir el acceso físico a los centros de datos. Los centros de datos están almacenados en instalaciones que requieren de una llave electrónica de acceso, con alarmas que están ligadas a una operación de seguridad en el sitio. A todas los personas que ingresen a los centros de datos se les requiere que se identifiquen así como proveer prueba de su identidad a para las operaciones de seguridad en el sitio. Solamente los empleados autorizados, proveedores y visitantes se les permite el ingreso a los centros de datos. Solamente se les está permitido solicitar llaves de acceso electrónico para dichas instalaciones a los empleados autorizados y proveedores. Las solicitudes, de llaves de acceso electrónico a los centros de datos, se tendrán que hacer con anticipación y por escrito y requieren de la autorización del gerente del solicitante y del director del centro de datos. Todos los demás ingresantes que requieran de ingreso temporal a los centros de datos deberán: (i) obtener autorización previa, de los gerentes del centro de datos, para el acceso al centro de datos específico y a las áreas internas que desea visitar (ii) firmar su ingreso en las operaciones de seguridad del sitio; y (iii) referenciar al individuo con un registro de acceso aprobado al centro de datos.
Dispositivos de Seguridad del Sitio del Centro de Datos. Los centros de datos de Google utilizan una tarjeta llave de seguridad y un sistema de control de ingreso biométrico que está ligado a un sistema de alarma. El sistema de control de acceso monitorea y registra cada una de las tarjetas de llave de seguridad individualmente y cuando ingresan por las puertas del perímetro, salidas y entradas de materiales, y otras áreas críticas. La actividad no autorizada o intentos de acceso negados son registrados por el sistema de control de ingreso e investigados según se determine adecuado. Los ingresos autorizados durante la operación del negocio y a los centros de datos será restringida en base a cada zona y a las responsabilidades de trabajo individuales. Las puertas contra incendio de los centros de datos tienen sistema de alarmas. Las cámaras CCTV están en operación adentro y afuera de los centros de datos. La ubicación de las cámaras está diseñada para cubrir áreas estratégicas incluyendo, entre otras, el perímetro, puertas que dan al edificio del centro de datos, salidas y entrada de materiales. El personal de operaciones de seguridad en el sitio administra el monitoreo CCTV, la grabación y el control de los dispositivos. El cableado de seguridad por todo el centro de datos conecta los dispositivos CCTV. Las cámaras graban en el sitio por medio de grabadoras digitales las 24 horas del día, los 7 días de la semana. Las registros de las grabaciones de vigilancia son resguardados por al menos 7 días dependiendo de la actividad.
Control de Acceso.
Personal de Seguridad de Infraestructura. Google cuenta con, y mantiene, una política de seguridad para su personal, y requiere entrenamiento en seguridad como parte del paquete de entrenamiento de su personal. El personal de seguridad de infraestructura de Google es responsable por el continuo monitoreo de la seguridad de la infraestructura de Google, la revisión de los Servicios de Tratamiento y por responder a los incidentes de seguridad.
Control de Acceso y Personal Administrativo Privilegiado. Administradores de los clientes y usuarios deberán autenticarse por medio de un sistema central de autentificación o por medio de un sistema único de ingreso para el uso de los Servicios de Tratamiento.
Políticas y Procedimientos Internos de Acceso a Datos – Política de Acceso. Las Políticas y Procedimientos Internos de Acceso a Datos de Google están diseñados para prevenir que personas y/o sistemas no autorizados logren ingresar a los sistemas utilizados para el tratamiento de datos personales. El objetivo de Google es diseñar sus sistemas para que: (i) solamente se le permita el acceso a personas autorizadas a los datos que están autorizados a acceder; y (ii) asegurarse que los datos personales no puedan ser leídos, copiados, alterados o removidos sin autorización durante el tratamiento, uso o después de su grabación. Los sistemas están diseñados para detectar cualquier acceso inapropiado. Google utiliza un sistema de administración de acceso centralizado para controlar acceso de personal a los servidores de producción, y solamente permite el acceso a un número limitado de personal autorizado. LDAP, Kerberos y un sistema propiedad de Google que utiliza certificados SSH están diseñados para proveer a Google con mecanismos de acceso flexibles y seguros. Estos mecanismos están diseñados para otorgar aprobación de derechos de acceso a servidores, registros, datos e información de configuración. Google exige el uso de una identificación ID de usuario única, contraseñas fuertes, autenticación de dos factores y una lista de accesos cuidadosamente monitoreada para minimizar la posibilidad de el uso no autorizado de una cuenta. El otorgamiento o la modificación de derechos de acceso se basa en: las responsabilidades del cargo de la persona; los requisitos de obligación del trabajo necesarios para el desempeño de las tareas autorizadas, y a la necesidad de estar enterado. El otorgamiento o la modificación de derechos de acceso tendrán que estar de acuerdo con el entrenamiento y las políticas internas de acceso a datos de Google.
Las autorizaciones son administradas por herramientas del flujo de trabajo que mantienen records de auditoría de todos los cambios. Los accesos al sistema están registrados para crear un rastro auditable por contabilidad. En donde se utilizan contraseñas para autentificación (eje. Ingreso en estaciones de trabajo), las políticas de contraseñas implementadas son consistentes con las prácticas estándar en la industria. Estos estándares incluyen restricciones e uso de contraseña y fortaleza suficiente de la misma.
3. Datos
(a) Almacenamiento, Aislamiento y Autentificación de Datos.
Google almacena datos en un ambiente de multi-inquilinos en servidores propiedad de Google. Los Datos, la base de datos de los Servicios de Tratamiento y la arquitectura del sistema de archivo es replicado en múltiples centros de datos geográficamente dispersos. Google aísla lógicamente los datos de cada cliente. Un sistema central de autentificación es usado en todos los Servicios de Tratamiento para incrementar la seguridad de datos de manera uniforme.
(b) Reglas para la Desactivación y Destrucción de Discos.
Algunos discos que contienen datos podrán experimentar fallas en su desempeño, errores o fallas del hardware lo cual conduce a su desactivación (“Disco Desactivado”). Cada Disco Desactivado está sujeto a una serie de procesos de destrucción de datos (“Reglas de Destrucción de Datos”) antes de salir de las instalaciones de Google, ya sea para poder reutilizarse o para destruirse. Los Discos Desactivados son borrados por medio de un proceso de varios pasos y se verifica dicho borrado por al menos por dos validadores independientes. Los resultados de borrado son registrados por el número de serie del Disco Desactivado. Finalmente, el Disco Desactivado borrado, se liberado al inventario para que este pueda ser reutilizado y redistribuido. Si, debido a una falla de hardware, el Disco Desactivado no puede ser borrado, se almacenará de forma segura hasta que este se destruya. Cada instalación se auditará de manera regular para monitorear el cumplimiento de las Reglas de Destrucción de Datos.
4. Personal de Seguridad
El personal de Google está obligado a conducir su comportamiento de una manera consistente con, las reglas de confidencialidad, ética de negocios, de manera adecuada y estándares profesionales de la compañía. Google realiza búsquedas de antecedentes razonablemente adecuados, hasta donde la ley lo permita y de acuerdo con la ley del trabajo local y sus reglamentos.
El personal está obligado a firmar contratos de confidencialidad, además deberá de cumplir y acusar recibo de las políticas de privacidad de confidencialidad de Google. Se le proporcionará al personal entrenamiento de seguridad. El personal que maneje los Datos Personales del Cliente deberá de completar los requerimientos necesarios apropiados a su función. El personal de Google no tratará los Datos Personales del Cliente sin autorización.
5. Seguridad del Sub-Encargado del tratamiento
Antes de incorporar a los Sub-Encargado del tratamiento, Google realiza una auditoría a las prácticas de seguridad y privacidad de los Sub-Encargado del tratamiento para garantizar que los mismos brinden un nivel de seguridad y privacidad adecuado con respecto al acceso a los datos y del alcance de los servicios que se comprometen a prestar. Una vez que Google haya evaluado los riesgos que el Sub-Encargado del tratamiento presentó en ese entonces, siempre sujeto a los requerimientos establecidos en la Sección 11.3 (Requerimientos para la Participación del Sub-Encargado del tratamiento), se le requerirá al Sub-Encargado del tratamiento a establecer términos contractuales de seguridad, confidencialidad y privacidad adecuados.