Miro legal information

Tabla de contenido

Tabla de contenido

Apéndice sobre las funciones de IA
Code of Conduct
Cookies Policy
Customer Data Processing Addendum
Current Subprocessors List
Developer Terms of Use
Acuerdo principal de la nube
Miro Imprint
Miro Marketplace Terms of Use
Miro Master Cloud Agreement Guide
Online Community Terms of Use
Open Source Software - Client
Open Source Software - Site
Prior Master Cloud Agreement "MCA" Versions
Privacy Policy
Recruitment Privacy Policy
Condiciones del Servicio
Vendor Data Processing Addendum
Vendor Information Security Schedule
Política sobre la Ley de Derechos de Autor del Milenio Digital (DMCA)
Solutions Partner Program Agreement
Conduct and Content Standards
Miro Supplier Code of Conduct
Cookie List
Miro Modern Slavery Statement

Customer Data Processing Addendum

For the previous version of the Customer Data Processing Addendum click here.

For the previous version of the Customer Data Processing Addendum click here.

For the previous version of the Customer Data Processing Addendum click here.

Fecha de entrada en vigor:  17 de septiembre de 2024

La presente Adenda al Procesamiento de los Datos del Cliente (“DPA”, por sus siglas en inglés) se celebra entre RealtimeBoard, Inc, dba Miro (“Miro” o “importador de datos”) y la entidad identificada como el Cliente (“Cliente” o “exportador de datos”) y se adjunta a (i) el Acuerdo de Nube Maestra de Miro o a las Condiciones del Servicio (según corresponda); o a (ii) otro acuerdo en formato digital o por escrito que forme parte de esta DPA y que regule el acceso del Cliente a la plataforma de Miro y los servicios relacionados, al igual que el uso que haga de ellos (el “Acuerdo”). Los términos en mayúsculas utilizados pero no definidos en la presente DPA tendrán los significados asignados en el Acuerdo.

Las partes acuerdan que la presente DPA se incorporará y formará parte del Acuerdo y quedará sujeta a sus disposiciones. 

Si el Cliente eliminara o revisara alguna parte de esta DPA, tal quedará rechazado y se considerará inválido, salvo que Miro lo acepte. El firmante del Cliente declara y garantiza que tiene autoridad para obligar al Cliente con respecto a esta DPA. 

1. Definiciones

Ley(es) de Privacidad Aplicable(s)” significa cualquier ley y regulación de protección de datos y privacidad, incluida la Ley de Protección de Datos, aplicable al procesamiento que haga Miro de los Datos Personales del Cliente.

Datos Personales del Cliente” significa cualquier Contenido del Cliente que involucren Datos Personales y/o Información Personal como se define y protege en la(s) Ley(es) de Privacidad Aplicable(s).

“Marco de Privacidad de Datos” o “DPF” significa el Marco de Privacidad de Datos UE-EE.UU., el Marco de Privacidad de Datos Suiza-EE.UU., y la Extensión del Reino Unido a los programas de autocertificación del Marco de Privacidad de Datos UE-EE.UU. (según corresponda) operados por el Departamento de Comercio de EE.UU., y en virtud de las modificaciones, reemplazos y sustituciones que pueda haber.

“Principios del Marco de Privacidad de Datos” o “Principios DPF” significa los Principios del Marco de Privacidad de Datos y los Principios Suplementarios incluidos en el Marco de Privacidad de Datos pertinente, y en virtud de las modificaciones, reemplazos y sustituciones que pueda haber.   

Ley de Protección de Datos” significa: (i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) (el “GDPRde la UE”); (ii) el GDPR incorporado a la legislación del Reino Unido en virtud del artículo 3 de la Ley de 2018 sobre la Retirada de la Unión Europea del Reino Unido y la Ley de Protección de Datos del Reino Unido de 2018 (en conjunto, el “GDRPdel Reino Unido”); (iii) la Directiva de la UE sobre la privacidad y las comunicaciones electrónicas (Directiva 2002/58/CE); (iv) la Ley Federal Suiza de Protección de Datos (“Ley Federal Suiza de Protección de Datos”), y (v) todas y cada una de las leyes nacionales de protección de datos aplicables y dictadas en virtud de cualquiera de las enunciadas en (i), (ii) (iii) o (iv), de conformidad con cualquiera de ellas o que se apliquen en conjunto con ellas. En todos los casos, en virtud de las modificaciones y sustituciones que pueda haber.

Subsidiaria de Miro” significa cualquier entidad controlada directa o indirectamente por Miro, administrada o bajo su control común. 

“Transferencia restringida” significa: (i) cuando se aplique el GDPR de la UE, una transferencia de Datos Personales desde el Espacio Económico Europeo (EEE) a un país fuera del EEE que no esté sujeto a una determinación de adecuación de la Comisión Europea; (ii) cuando se aplique el GDPR del Reino Unido, una transferencia de Datos Personales desde el Reino Unido a cualquier otro país que no esté sujeto a regulaciones de adecuación de conformidad con la Sección 17A de la Ley de Protección de Datos del Reino Unido de 2018; y (iii) cuando se aplique la Ley Federal Suiza de Protección de Datos, una transferencia de Datos Personales desde Suiza a cualquier otro país que la Comisión Federal de Protección de Datos e Información o el Consejo Federal (según corresponda) no determinen que debe ofrecer una protección adecuada de los Datos Personales. 

“Cláusulas Contractuales Tipo” significa: (i) cuando se aplique el GDPR de la UE o la Ley Federal Suiza de Protección de Datos, las cláusulas contractuales anexas a la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea de 4 de junio de 2021 (“SCC de la UE”); y (ii) cuando se aplique el GDPR del Reino Unido, las cláusulas tipo de protección de datos para procesadores adoptadas de conformidad con el artículo 46(2)(c) del GDPR del Reino Unido (en concreto, la Adenda de Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo de la Comisión Europea) (“SCC del Reino Unido”), según corresponda de conformidad con la Sección 8 (Transferencias de Datos).

Incidente de Seguridad” significa cualquier ataque de seguridad no autorizado o ilegal que provoque la destrucción, pérdida o alteración accidental o ilegal de los Datos Personales del Cliente, o su divulgación y acceso no autorizados. Los “Incidentes de Seguridad” no incluirán intentos o actividades infructuosas que no comprometan la seguridad de los Datos Personales del Cliente, como intentos infructuosos de inicio de sesión, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques de red a firewalls o sistemas en red.

Subprocesador” significa cualquier Procesador contratado por Miro para procesar los Datos Personales del Cliente.

Los términos “negocios”, “Controlador”,“titular de datos”, “Datos Personales”, “Información Personal”, “Procesador”, “que procesa”, “venta”, “vender”, “Proveedor de Servicios” y “compartir” tienen el significado que se les asigna en la(s) Ley(es) de Privacidad Aplicable(s).  En el caso y hasta tanto la(s) Ley(es) de Privacidad Aplicable(s) no defina(n) dichos términos, se aplicarán las definiciones atribuidas en la Ley de Protección de Datos.  

2. Rol y alcance del Procesamiento

2.1 En lo que respecta al procesamiento de los Datos Personales del Cliente, las partes reconocen que el Cliente será el Controlador y Miro el Procesador de los Datos Personales del Cliente en nombre del Cliente.  

2.2 Miro procesará los Datos Personales del Cliente únicamente de acuerdo con las instrucciones documentadas del Cliente y no procesará los Datos Personales del Cliente para sus propios fines, excepto según lo establecido en el Acuerdo y en esta DPA o cuando lo exija(n) la(s) ley(es) aplicable(s). El Acuerdo, incluida la presente DPA, junto con la configuración del Cliente de cualquier ajuste u opción de los Servicios (que el Cliente podrá modificar oportunamente), constituyen las instrucciones completas y definitivas del Cliente hacia Miro en relación con el Procesamiento de los Datos Personales del Cliente, incluso para los fines de las Cláusulas Contractuales Tipo, según corresponda. Las instrucciones adicionales de procesamiento (si hubiese) exigen un acuerdo previo y por escrito entre las partes.

2.3 Cada parte cumplirá con sus obligaciones en virtud de la(s) Ley(es) de Privacidad Aplicable(s) con respecto a cualquier Dato Personal del Cliente. Sin perjuicio de lo anterior, el Cliente es responsable de determinar si los Servicios son apropiados para el almacenamiento y procesamiento de los Datos Personales del Cliente en virtud de la(s) Ley(es) de Privacidad Aplicable(s) y para resguardar la exactitud, calidad y legalidad de los Datos Personales del Cliente y de los medios por los que los adquirió. Asimismo, el Cliente acepta que ha notificado y obtenido todos los consentimientos, permisos y derechos necesarios para que Miro y sus Subprocesadores procesen legalmente los Datos Personales del Cliente para los fines contemplados en el Acuerdo (incluida esta DPA). 

2.4 Miro notificará oportunamente al Cliente si determina que las instrucciones del Cliente infringen la(s) Ley(es) de Privacidad Aplicable(s), pero sin obligación de supervisar activamente el cumplimiento de la(s) Ley(es) de Privacidad Aplicable(s) por parte del Cliente y, en tal caso, Miro no estará obligado a realizar dicho Procesamiento hasta que el Cliente haya actualizado sus instrucciones de procesamiento y Miro haya determinado que se ha resuelto la incidencia de incumplimiento.

2.5 Información del Procesamiento de Datos: 

2.5.1 Objeto: El objeto del procesamiento de datos en virtud de la presente DPA son los Datos Personales del Cliente. 

2.5.2 Plazo: En lo que respecta al Cliente y Miro, la duración del procesamiento será el plazo del Acuerdo, más cualquier período posterior a la rescisión o expiración del Acuerdo durante el cual Miro tratará los Datos Personales del Cliente de conformidad con el Acuerdo. 

2.5.3 Propósito: Miro procesará los Datos Personales del Cliente según sea necesario para desarrollar los Servicios de conformidad con el Acuerdo, según las instrucciones adicionales del Cliente durante el uso que haga de los Servicios. 

2.5.4 Naturaleza del procesamiento:  La prestación de los Servicios descritos en el Acuerdo e iniciados por el Cliente oportunamente.

2.5.5 Tipos de Datos Personales del Cliente: Cualquier Dato Personal del Cliente enviado a los Servicios bajo la cuenta de Miro del Cliente. 

2.5.6 Categorías de titulares de datos: Los titulares de datos podrían incluir a los empleados, asesores, agentes y terceros del Cliente autorizados para acceder y utilizar los Servicios como Usuarios bajo la cuenta de Miro del Cliente y cualquier otro titular de datos cuyos Datos Personales del Cliente sean enviados a Miro por el Cliente y/o sus Usuarios a través de los Servicios.

3. Subprocesamiento

3.1 El Cliente otorga a Miro una autorización general para subcontratar a Subprocesadores, incluidos los que figuran en https://miro.com/static/legal/Miro-Current-Subprocessors-List.pdf (o la URL que la reemplace) (“Lista de Subprocesadores”) para que se encarguen del procesamiento de los Datos Personales del Cliente.

3.2 Si Miro contrata a un Subprocesador nuevo o sustituto, Miro:

3.2.1 Actualizará la Lista de Subprocesadores;

3.2.2 Impondrá sustancialmente las mismas condiciones de protección de datos como se indica en la presente DPA a cualquier Subprocesador que contrate (lo que incluye las disposiciones sobre transferencia de datos, si corresponde); y 

3.2.3 Seguirá siendo responsable ante el Cliente por cualquier incumplimiento de la presente DPA causado por un acto, error u omisión de dicho Subprocesador. 

3.3 Si el Cliente opta por ser notificado al menos 10 (diez) días antes de que Miro contrate a un Subprocesador nuevo o sustituto, el Cliente deberá suscribirse a dichas notificaciones a través del portal de notificación al cliente aquí.

3.4 El Cliente podrá oponerse de inmediato a la designación por parte de Miro de cualquier Subprocesador nuevo o sustituto por escrito en un plazo de 30 (treinta) días tras la recepción de la notificación de conformidad con el punto 3.2.1, siempre que cuente con motivos razonables relacionados con la capacidad del Subprocesador para cumplir con la(s) Ley(es) de Privacidad Aplicable(s). En tal caso, las partes debatirán de buena fe las preocupaciones del Cliente con vistas a alcanzar una resolución comercialmente razonable. Si las partes no pudiesen llegar a dicha resolución, Miro tendrá derecho, a su entera discreción, a no designar al Subprocesador en disputa o a permitir que el Cliente suspenda o rescinda el Pedido aplicable y/o el Acuerdo. Estos procedimientos constituyen el recurso exclusivo del Cliente y la responsabilidad total de Miro para resolver las objeciones del Cliente a la designación de Subprocesadores por parte de Miro en virtud de la presente DPA. 

4. Cooperación

4.1 Miro cooperará razonablemente con el Cliente para que pueda responder a cualquier solicitud, reclamo u otra comunicación de los titulares de datos y de los organismos reguladores o judiciales en relación con el procesamiento de los Datos Personales del Cliente, incluidas las solicitudes de los titulares de datos que pretendan ejercer sus derechos en virtud de la(s) Ley(es) de Privacidad Aplicable(s).  En caso de que dicha solicitud, reclamo o comunicación se presente directamente a Miro, luego de haber identificado que la solicitud procede o está relacionada con una persona titular de datos por la que el Cliente es responsable, Miro se lo transmitirá al Cliente y no responderá a dicha comunicación sin la autorización expresa del Cliente, salvo que se le exija hacerlo para cumplir con la legislación aplicable.

4.2 En la medida en que la(s) Ley(es) de Privacidad Aplicable(s) se lo exijan a Miro, Miro ayudará al Cliente a realizar una evaluación de impacto de la protección de datos y, cuando sea legalmente necesario, consultará con las autoridades de protección de datos aplicables con respecto a cualquier actividad de procesamiento propuesta que presente un alto riesgo para los titulares de datos.

4.3 Teniendo en cuenta la naturaleza del procesamiento, el Cliente acepta que es poco probable que Miro tenga conocimiento de que los Datos Personales del Cliente transferidos en virtud del DPF y/o las Cláusulas Contractuales Tipo, según corresponda, sean inexactos o estén desactualizados. No obstante, si Miro tiene conocimiento de que los Datos Personales del Cliente transferidos en virtud del DPF y/o las Cláusulas Contractuales Tipo, según corresponda, sean inexactos o estén desactualizados, informará al Cliente sin demora. Miro cooperará razonablemente con el Cliente para borrar o rectificar los Datos Personales del Cliente inexactos o desactualizados transferidos en virtud del presente documento.

5. Acceso a los Datos y Medidas de Seguridad

5.1 Miro se asegurará de que todo el personal encargado del procesamiento de los Datos Personales del Cliente esté sujeto a un deber de confidencialidad adecuado (ya sea contractual o legal) y de que procese los Datos Personales del Cliente únicamente con el fin de prestar los Servicios.  

5.2 Miro implementará y mantendrá medidas de seguridad técnicas y organizativas razonables y adecuadas con el objetivo de proteger los Datos Personales del Cliente de Incidentes de Seguridad de acuerdo con las medidas enumeradas en el Anexo 2 (“Medidas de Seguridad”). El Cliente reconoce que las Medidas de Seguridad están sujetas a avances y desarrollos técnicos y que Miro puede actualizar o modificarlas oportunamente, siempre que dichas actualizaciones y modificaciones no degraden ni disminuyan la seguridad general de los Servicios.

6. Incidentes de Seguridad 

En caso de que se produzca un Incidente de Seguridad, Miro informará al Cliente sin demoras y le proporcionará detalles por escrito del Incidente de Seguridad, incluido el tipo de datos afectados y la identidad de la(s) persona(s) afectada(s) cuando tenga conocimiento de ella o esta esté disponible.  Miro proporcionará, en la medida de lo posible, información y cooperación oportunas al Cliente para permitirle cumplir con sus obligaciones de notificación por ataques a los datos en virtud de la(s) Ley(es) de Privacidad Aplicable(s) y tomará las medidas razonables para remediar o mitigar los efectos del Incidente de Seguridad. Las presentes obligaciones no se aplicarán a los Incidentes de Seguridad causados por el Cliente o sus Usuarios.

7. Reportes e inspecciones de seguridad

7.1 Miro proporcionará copias de todas las certificaciones, resúmenes de reportes de auditoría y/u otra documentación relevante que tenga cuando el Cliente lo solicite razonablemente para verificar el cumplimiento de la presente DPA por parte de Miro. 

7.2 Aunque la intención de las partes es confiar normalmente en las obligaciones de Miro establecidas en la Sección 7.1 para verificar el cumplimiento de la presente DPA por parte de Miro, tras un Incidente de Seguridad confirmado o cuando una autoridad de protección de datos lo requiera, el Cliente podrá cursar a Miro una notificación por escrito con 30 (treinta) días de antelación solicitando que un tercero realice una auditoría de las operaciones e instalaciones de Miro (“Auditoría); siempre que (i) tal Auditoría se realice a expensas del Cliente; (ii) las partes acuerden mutuamente el alcance, el plazo y la duración de la Auditoría; (iii) la Auditoría no afecte de forma injustificada las operaciones habituales de Miro.

7.3 Cualquier respuesta por escrito o Auditoría descrita en esta Sección 7 estará sujeta a las disposiciones de confidencialidad del Acuerdo.  Las partes acuerdan que cualquier disposición de auditoría descrita en la Cláusula 8.9 de las SCC de la UE, cuando corresponda, se contemplará de conformidad con la presente Sección 7 (Reportes e instrucciones de seguridad). 

8. Transferencias internacionales de datos

8.1 Los Datos Personales del Cliente que Miro procese en virtud del Acuerdo se podrán procesar en cualquier país en el que Miro, sus Subsidiarias y Subprocesadores cuenten con instalaciones para prestar los Servicios, como se detalla en la Lista de Subprocesadores. Miro no procesará ni transferirá los Datos Personales del Cliente (ni permitirá que dichos datos se procesen o transfieran) fuera del EEE, Suiza o el Reino Unido, salvo que primero tome las medidas necesarias para garantizar que la transferencia cumpla con la Ley de Protección de Datos.

8.2 Las partes acuerdan que el DPF se aplica con respecto a las Transferencias Restringidas de los Datos Personales del Cliente a EE.UU. desde el EEE y/o Suiza, ya que Miro cuenta con certificación bajo el programa DPF y cumple con los Principios DPF al procesar dichos Datos Personales del Cliente. Si la certificación de Miro en virtud del DPF se revoca o se invalida, Miro informará al Cliente cuando corresponda y, previa solicitud, tomará las medidas razonables y adecuadas para remediar cualquier procesamiento no autorizado proporcionando un Mecanismo de Transferencia Alternativo (como las Cláusulas Contractuales Tipo), como se indica en esta Sección.

8.3 Por el presente, las partes acuerdan que cuando el DPF no se aplique con respecto a una Transferencia Restringida, las Cláusulas Contractuales Tipo quedarán incorporadas y se aplicarán junto con las siguientes modificaciones, según corresponda:

8.3.1 Cuando el Cliente sea Controlador de los Datos Personales del Cliente protegidos por el GDPR de la UE:  El Módulo 2 de las SCC de la UE se aplica entre el Cliente como “exportador de datos” (a pesar de que el Cliente pueda ser una entidad ubicada fuera del EEE) y Miro como “importador de datos” de la siguiente manera: (i) en la Cláusula 7, se aplicará la cláusula de adhesión opcional; (ii) en la Cláusula 9, se aplicará la Opción 2, y el plazo de notificación previa de los cambios de Subprocesador será el establecido en la presente DPA; (iii) en la Cláusula 11, no se aplicará el lenguaje opcional; (iv) en la Cláusula 17, se aplicará la Opción 1, y las SCC de la UE se regirán por la legislación neerlandesa; (v) en la Cláusula 18(b), las disputas se resolverán ante los tribunales de los Países Bajos; (vi) se considerará que el Anexo 1 de las SCC de la UE incorpora el Anexo 1 de la presente DPA y (vii) se considerará que el Anexo 2 de las SCC de la UE incorpora el Anexo 2 de la presente DPA. 

8.3.2 Cuando el Cliente sea Controlador de los Datos Personales del Cliente protegidos por la Ley Federal Suiza de Protección de Datos: El Módulo 2 de las SCC de la UE se aplica entre el Cliente como “exportador de datos” y Miro como “importador de datos” sobre lo anterior y de la siguiente manera: (i) en la Cláusula 13, la autoridad de control competente será la Comisión Federal Suiza de Protección de Datos e Información; (ii) el término “Estado Miembro” no debe interpretarse de forma que excluya a los titulares de datos en Suiza de ejercer sus derechos en su lugar de residencia habitual de conformidad con la Cláusula 18(c); (iii) y todas las referencias al GDPR de la UE en esta DPA también se considerará que refieren a la Ley Federal Suiza de Protección de Datos. 

8.3.3 Cuando el Cliente sea Procesador en nombre de un tercero Controlador de los Datos Personales del Cliente protegidos por el GDPR de la UE: El Módulo 3 de las SCC de la UE se aplica entre el Cliente como “exportador de datos” (a pesar de que el Cliente o el tercero Controlador pueda ser una entidad ubicada fuera del EEE) y Miro como “importador de datos” de la siguiente manera: (i) en la Cláusula 7, se aplicará la cláusula de adhesión opcional; (ii) en la Cláusula 9, se aplicará la Opción 2, el plazo de notificación previa de los cambios de Subprocesador será el establecido en la presente DPA, y Miro deberá cumplir las obligaciones de notificación sobre el Suprocesador como se establece en esta DPA; (iii) en la Cláusula 11, no se aplicará el lenguaje opcional; (iv) en la Cláusula 17, se aplicará la Opción 1, y las SCC de la UE se regirán por la legislación neerlandesa; (v) en la Cláusula 18(b), las disputas se resolverán ante los tribunales de los Países Bajos; (vi) se considerará que el Anexo 1 de las SCC de la UE incorpora el Anexo 1 de la presente DPA y (vii) se considerará que el Anexo 2 de las SCC de la UE incorpora el Anexo 2 de la presente DPA. 

8.3.4 Cuando el Cliente sea Procesador en nombre de un tercero Controlador de los Datos Personales del Cliente protegidos por la Ley Federal Suiza de Protección de Datos: El Módulo 3 de las SCC de la UE se aplica entre el Cliente como “exportador de datos” y Miro como “importador de datos” sobre lo anterior y de la siguiente manera: (i) en la Cláusula 13, la autoridad de control competente será la Comisión Federal Suiza de Protección de Datos e Información; (ii) el término “Estado Miembro” no debe interpretarse de forma que excluya a los titulares de datos en Suiza de ejercer sus derechos en su lugar de residencia habitual de conformidad con la Cláusula 18(c); (iii) y todas las referencias al GDPR de la UE en esta DPA también se considerará que refieren a la Ley Federal Suiza de Protección de Datos. 

8.3.5 Cuando el Cliente sea Controlador o Procesador de Datos Personales del Cliente protegidos por el GDPR del Reino Unido, se aplicarán las SCC de la UE, completas con las siguientes modificaciones, según corresponda: se considerará que cada parte ha firmado la “Adenda del Reino Unido a las Cláusulas Contractuales Tipo de la UE” (“Adenda del Reino Unido”) emitida por la Oficina del Comisionado de Información en virtud de la Sección 119 A de la Ley de Protección de Datos del Reino Unido de 2018; (ii) las SCC de la UE se considerarán modificadas según lo especificado por la Adenda del Reino Unido con respecto a la transferencia de Datos Personales del Cliente; (iii) en la Tabla 1 de la Adenda del Reino Unido, la información de contacto de las partes se encuentra en el Anexo 1 de la presente Adenda; (iv) en la Tabla 2 de la Adenda del Reino Unido, la información sobre las Cláusulas Contractuales Tipo, los módulos y las cláusulas seleccionadas se encuentra en la Sección 8.3 anterior; (v) la Tabla 3 de la Adenda del Reino Unido se considerará completa con la información que figura en los Anexos 1 y 2 de la presente Adenda; y (vi) en la Tabla 4 de la Adenda del Reino Unido, cualquiera de las partes podrá extinguir la Adenda del Reino Unido de acuerdo con sus condiciones y se considerará marcada la casilla correspondiente a cada una de ellas (“SCC del Reino Unido”). 

8.4 Si Miro adopta un mecanismo alternativo de exportación legal de datos para la transferencia de Datos Personales del Cliente no descrito en la presente DPA (“Mecanismo de Transferencia Alternativo”), tal mecanismo se aplicará en lugar de cualquier mecanismo de transferencia aplicable descrito en esta DPA (pero solo en la medida en que dicho Mecanismo de Transferencia Alternativo cumpla con la Ley de Protección de Datos y se extienda a los territorios a los que se transfieran los Datos Personales del Cliente pertinentes).

9. Eliminación y devolución de los Datos Personales del Cliente 

A solicitud del Cliente durante el Período de Suscripción del Acuerdo y/o a la rescisión o finalización de la presente DPA, Miro eliminará o devolverá al Cliente todos los Datos Personales del Cliente que tenga en su poder de acuerdo con los plazos y políticas de eliminación de datos de Miro vigentes al momento, que podrán ser solicitados por el Cliente en cualquier momento.  Este requisito no se aplicará en la medida en que Miro esté obligado por cualquier ley aplicable a conservar algunos o todos los Datos Personales del Cliente ni con respecto a los Datos Personales del Cliente archivados en sistemas de copia de seguridad, lo cuales Miro aislará y protegerá de cualquier procesamiento posterior, salvo hasta tanto lo exija dicha ley. Las partes acuerdan que Miro proporcionará al Cliente la confirmación de la eliminación de los Datos Personales del Cliente previa solicitud por escrito. 

10. Ley de Privacidad del Consumidor de California (“CCPA”) yLey de Derechos de Privacidad de California (“CPRA”)

En la medida en que Miro procese Datos Personales del Cliente de Usuarios residentes en el estado norteamericano de California, las partes acuerdan lo siguiente:

10.1 El Cliente es una Empresa y Miro un Proveedor de Servicios. La transferencia de los Datos Personales del Cliente a Miro por parte del Cliente no constituye una Venta, y Miro no proporciona ninguna contraprestación monetaria ni de otro valor al Cliente a cambio de los Datos Personales del Cliente. Miro procesa los Datos Personales del Cliente únicamente como Proveedor de Servicios en nombre del Cliente para uno o más fines empresariales, como se describe en el Acuerdo o según lo permitido a los Proveedores de Servicios en virtud de las Leyes de Privacidad Aplicables.

10.2 Miro no “Venderá” ni “Compartirá” los Datos Personales del Cliente y se compromete a cumplir todos los requisitos aplicables de la CCPA y sus modificaciones por la CPRA, y siempre que el Cliente y Miro lo acuerden por escrito, como se establece en esta DPA. 

10.3 Según se aplique a los Servicios, Miro ayudará razonablemente al Cliente a responder (a expensas del Cliente) a cualquier solicitud de un titular de datos (incluidas las “solicitudes de consumidores verificables”, según la definición de dicho término en la CCPA), en relación con el procesamiento de los Datos Personales del Cliente en virtud del Acuerdo.

11. Disposiciones generales

11.1 Salvo por los cambios introducidos por la presente DPA, el Acuerdo se encuentra sin alteraciones y en pleno vigor.  En caso de conflicto entre cualquier disposición de esta DPA y cualquier disposición del Acuerdo, prevalecerán las disposiciones de la presente DPA.  Con efecto a partir de la fecha de entrada en vigor, la presente DPA forma parte del Acuerdo y se incorpora a él.

11.2 La presente DPA no restringe ni limita los derechos de ningún titular de derechos ni de ninguna autoridad de control competente.

11.3 Cualquier reclamo o recurso que el Cliente pueda presentar contra Miro, sus empleados, agentes y Subprocesadores, que surja en virtud o en relación con esta DPA, ya sea por cuestiones contractuales, extracontractuales (incluso por negligencia) o bajo cualquier otra teoría de responsabilidad, estará sujeta, en la medida máxima permitida por la ley, a las limitaciones y exclusiones de responsabilidad del Acuerdo. En consecuencia, cualquier referencia en el Acuerdo a la responsabilidad de una parte significa la responsabilidad total de esa parte bajo el Acuerdo y la presente DPA en conjunto y en relación con ellos.

11.4 La presente DPA se regirá e interpretará de conformidad con las disposiciones sobre legislación aplicable y jurisdicción del Acuerdo, salvo que la(s) Ley(es) de Privacidad Aplicable(s) disponga(n) algo diferente.

11.5 Si alguna parte de esta DPA no se pudiese exigir, las partes restantes no se verán afectadas.

ANEXO 1

A. LISTA DE LAS PARTES

Exportador(es) de datos

  • Nombre: La entidad identificada como “Cliente” en la DPA.

  • Dirección: La dirección del Cliente asociada a su cuenta de Miro o especificada en la DPA o en el presente Acuerdo.

  • Nombre, cargo y datos de contacto de la persona de contacto: Los datos de contacto asociados a la cuenta del Cliente o especificados en la presente DPA o en el Acuerdo.

  • Actividades relacionadas con los datos transferidos en virtud de las presentes Cláusulas: Las actividades especificadas en el Anexo 1(B) de la DPA.

  • Firma y fecha: Ver el bloque de ejecución de la DPA al que se anexan estas Cláusulas. 

  • Rol (controlador/procesador): Controlador.

Importador(es) de datos

  • Nombre: RealtimeBoard, Inc. dba Miro (“Miro”)

  • Dirección: 201 Spear Street, Suite 1100, San Francisco, CA 94105.

  • Nombre, cargo y datos de contacto de la persona de contacto: privacy@miro.com.

  • Actividades relacionadas con los datos transferidos en virtud de las presentes Cláusulas: Las actividades especificadas en el Anexo 1(B) de la DPA.

  • Firma y fecha: Ver el bloque de ejecución de la DPA al que se anexan estas Cláusulas. 

  • Rol (controlador/procesador): Procesador.

В. DESCRIPCIÓN DE LA TRANSFERENCIA 

  • Categorías de titulares cuyos datos personales se transfieren: Las categorías de titulares se describen en la sección 2.5 (Información del Procesamiento de Datos) de la DPA. 

  • Categorías de datos personales transferidos: Los datos personales se describen en la sección 2.5 (Información del Procesamiento de Datos) de la DPA.

  • Datos sensibles transferidos (si corresponde) y restricciones o salvaguardias aplicadas que tengan plenamente en cuenta la naturaleza de los datos y los riesgos relacionados, como por ejemplo una estricta limitación del propósito, restricciones de acceso (incluido el acceso solo para el personal que haya completado una capacitación especializada), mantenimiento de un registro de acceso a los datos, restricciones para las transferencias posteriores o medidas de seguridad adicionales: N/A. El exportador de datos tiene prohibido enviar categorías especiales de datos a los Servicios.

  • La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma única o continua): De forma continua en función de la utilización de los Servicios por parte del exportador de datos.

  • Naturaleza del procesamiento: La naturaleza del procesamiento se describe en la sección 2.5 (Información del Procesamiento de Datos) de la DPA.

  • Propósito(s) de la transferencia de datos y del procesamiento posterior: Los propósitos del procesamiento se describen en la sección 2.5 (Información del Procesamiento de Datos) de la DPA.

  • El período durante el cual se conservarán los datos personales o, si no fuera posible, los criterios utilizados para determinar dicho periodo: El exportador de datos determina la duración del procesamiento de acuerdo con las condiciones de la DPA.

  • Para las transferencias a (sub)procesadores, especifique también el objeto, la naturaleza y la duración del procesamiento: El objeto, la naturaleza y la duración del procesamiento se describen en la sección 2.5 (Información del Procesamiento de Datos) de la DPA.

C. AUTORIDAD DE CONTROL COMPETENTE

La autoridad de control competente del Cliente se determinará de conformidad con la Ley de Protección de Datos.

ANEXO 2

MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Descripción de las medidas técnicas y organizativas aplicadas por el importador o importadores de datos (incluidas las certificaciones pertinentes) para garantizar un nivel de seguridad adecuado, teniendo en cuenta la naturaleza, el alcance, el contexto y la finalidad del procesamiento, así como los riesgos para los derechos y libertades de las personas físicas:

Miro utiliza medidas técnicas y organizativas razonables diseñadas para proteger el Servicio y el Contenido del Cliente, como se describe en la Política de seguridad.

Para las transferencias a (Sub)procesadores, describa también las medidas técnicas y organizativas específicas que deberá adoptar el (Sub)procesador para poder prestar asistencia al Controlador; y en el caso de las transferencias de un Procesador a un Subprocesador, para brindar asistencia al exportador de datos:

Las medidas técnicas y organizativas adoptadas por el importador de datos para asistir al exportador de datos en el cumplimiento de sus obligaciones de responder a las solicitudes de los titulares de datos para el ejercicio de sus derechos en virtud del Reglamento (UE) 2016/679 se establecen en la Sección 4 (Cooperación) de la DPA.