Introducción al Contrato de Tratamiento de Datos de Uber

Uber exige que sus Proveedores acepten los términos establecidos en su Contrato de Tratamiento de Datos, el cual regula el tratamiento de la Información Confidencial de Uber, incluidos los Datos Personales de Uber.

Estos términos tienen como objetivo proteger la confidencialidad y la seguridad de la Información Confidencial de Uber y permitir que Uber cumpla con los requisitos de las leyes globales de protección de datos, incluyendo, según corresponda (dependiendo del tratamiento de los Datos Personales de Uber realizado por los proveedores), la Ley Federal de Protección de Datos Personales en Posesión de los Particulares de México (LFPDPPP), la Ley General de Protección de Datos de Brasil ("LGPD") y el Reglamento General de Protección de Datos Europeo ("GDPR").

El Contrato de Tratamiento de Datos aborda específicamente lo siguiente:

1. Exigencias y limitaciones generales relacionadas con el tratamiento de la Información Confidencial de Uber por parte de los Proveedores, incluyendo lo relacionado con la Seguridad de Datos, Incidentes de Seguridad de Datos, Evaluaciones y Auditorías de Riesgo, Retención y Eliminación de Datos, y el uso de Subencargado.
2. La designación de los roles desempeñados por Uber y por los Proveedores con relación al tratamiento de los Datos Personales de Uber.
   1. El Contrato requiere específicamente que las partes designen si cada una actúa como un “Responsable del Tratamiento” o “Encargado” de la Información Confidencial de Uber, según se definen estos términos en el GDPR.
   2. El Contrato también especifica las responsabilidades de cada parte en función de las designaciones anteriores.

Notifique a su contacto en Uber si tiene dudas sobre el Contrato de Tratamiento de Datos de Uber.

CONTRATO DE TRATAMIENTO DE DATOS DE UBER

Este Contrato de Tratamiento de Datos ("Contrato") forma parte de los demás acuerdos (colectivamente, "Contrato Principal") celebrados entre Uber y el Proveedor (en adelante, denominados individualmente como "Parte" y, en conjunto, "Partes"), y establece los requisitos aplicables al tratamiento de la Información Confidencial de Uber por parte del Proveedor, incluida (1) la Información Confidencial de Uber (consulte la Sección 2 a continuación); y (2) el tratamiento de los Datos Personales de Uber (consulte la Sección 3 a continuación).

DEFINICIONES

Además de los términos definidos a continuación, las siguientes definiciones deberán ser consideradas para efectos de este Contrato:

1. Los términos “Responsable del Tratamiento”, “Titular de Datos”, “Datos Personales", "Transferencia Internacional", "Tratamiento" y “Encargado” tendrán el mismo significado que los términos definidos en el GDPR;
2. Los términos “Proveedor” y “Servicios” tendrán los mismos significados que los establecidos en el Contrato Principal;
3. La clasificación de una Parte como “Business” bajo el CCPA/CPRA se considerará equivalente a “Responsable del Tratamiento”, al igual que la clasificación de “Third Party”, en caso de que dicha Parte trate Datos Personales de Uber de forma independiente;
4. La clasificación de una Parte como “Service Provider” y “Contractor” bajo el CCPA/CPRA se considerará equivalente a “Encargado”.
   1. Leyes de Protección de Datos: Todas las leyes y regulaciones aplicables al Tratamiento de Datos Personales de Uber de acuerdo con este Contrato, incluyendo, según corresponda, el Reglamento General de Protección de Datos de la UE [EU General Data Protection Regulation] (2016/679), la Ley General de Protección de Datos (LGPD) y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP).
   2. Incidente de Seguridad de Datos: cualquier acceso no autorizado, adquisición o Tratamiento ilícito de Información Confidencial de Uber, o cualquier compromiso de la seguridad o integridad de dicha Información Confidencial de Uber o de cualquier Sistema utilizado por el Proveedor, sus representantes o Subencargados para Tratar dichos datos.
   3. Eliminar o Eliminación: destruir física o lógicamente la Información Confidencial de Uber de manera que no pueda ser recuperada.
   4. Descubrimiento: cualquier caso en que el Proveedor descubra un Incidente de Seguridad de Datos, sea notificado sobre un Incidente de Seguridad de Datos, o hubiera tenido los medios para descubrir un Incidente de Seguridad de Datos si hubiera realizado la diligencia razonable.
   5. Subencargado: un Encargado contratado por el Proveedor para Tratar Información Confidencial de Uber.
   6. Sistema: cualquier sistema de archivos, sistema de computación, base de datos, dispositivo, equipo, servidor, sitio web, aplicación, software, medio de almacenamiento, red, infraestructura, entorno o dominio de red, incluyendo, sin limitación, todos los entornos de desarrollo, aseguramiento de calidad, pruebas y producción.
   7. Uber: Uber Technologies, Inc. y cualquier subsidiaria o afiliada de Uber.
   8. Titular de los Datos de Uber: cualquier Titular de Datos cuyos Datos Personales de Uber sean o vayan a ser Tratados por el Proveedor.
   9. Datos Personales de Uber: Datos Personales del Titular de Uber que son Tratados por el Proveedor para los fines de este Contrato. Para los fines de este Contrato, los Datos Personales de Uber no incluyen el nombre y la información de contacto de los empleados de Uber responsables de la interacción con el Proveedor en el curso de la ejecución del Contrato Principal, ni cualquier Dato Personal recibido de manera incidental por el Proveedor como resultado de dichas interacciones.
   10. Información Confidencial de Uber: todos los datos, registros o información, incluidos los Datos Personales de Uber, que sean de propiedad de o controlados por Uber y que sean divulgados, proporcionados o puestos a disposición del Proveedor por Uber o en nombre de Uber, o que sean recopilados, creados, mantenidos o utilizados por el Proveedor en nombre de Uber en relación con los Servicios, según lo descrito en el Contrato Principal.
   11. Sistema de Uber: cualquier Sistema que sea de propiedad de, licenciado, operado o controlado por Uber, o al que Uber haya concedido acceso al Proveedor.

REQUISITOS: INFORMACIÓN CONFIDENCIAL DE UBER

• 1. Seguridad de Datos: El Proveedor mantendrá salvaguardas físicas, administrativas, organizacionales y técnicas adecuadas, además de otras medidas de seguridad, para preservar la integridad, seguridad y confidencialidad de la Información Confidencial de Uber. Estas medidas incluirán, como mínimo, las establecidas en el Anexo 1 de este Contrato.
  2. Gerente de Seguridad: El Proveedor designará a una persona responsable de gestionar y coordinar el cumplimiento de las obligaciones del Proveedor establecidas en este Contrato, garantizando su disponibilidad para Uber durante la vigencia del Contrato Principal.
  3. Incidentes de Seguridad de Datos
     1. Investigación: Ante el Descubrimiento de un Incidente de Seguridad de Datos, el Proveedor tomará, a su propio costo, todas las medidas razonables para: investigar de manera completa y exhaustiva la causa, naturaleza y alcance del compromiso de dicho Incidente de Seguridad de Datos; remediar y mitigar los efectos del Incidente de Seguridad de Datos; y proporcionar a Uber toda la información necesaria o solicitada para que Uber cumpla con las leyes aplicables y con sus procesos internos de respuesta a Incidentes de Seguridad de Datos. A solicitud de Uber, el Proveedor presentará informes complementarios detallados sobre la investigación y sus conclusiones. El Proveedor deberá, a su propio costo, cooperar plenamente con Uber en la investigación y respuesta a cada Incidente de Seguridad de Datos, incluyendo permitir el acceso inmediato a sus Sistemas y/o instalaciones por parte de Uber y/o del investigador designado por Uber.
     2. Notificación para Uber. El Proveedor notificará a Uber dentro de un plazo de 48 (cuarenta y ocho) horas después del Descubrimiento, a través del colaborador o equipo de Uber designado para recibir notificaciones conforme al Contrato Principal, y por correo electrónico a vendorsecurity@uber.com. El Proveedor deberá incluir en dicha notificación, y complementarla según sea necesario:
        1. Una descripción del Incidente de Seguridad de Datos, incluyendo la causa principal (si es identificable), ubicación, fecha y hora, y detalles de su Descubrimiento.
        2. Una descripción de las medidas que el Proveedor ha tomado o tomará para investigar y mitigar el impacto del Incidente de Seguridad de Datos.
        3. Los tipos y el volumen de la Información Confidencial de Uber afectada, incluyendo si los datos estaban cifrados o suprimidos.
        4. El número, ubicación (estado/país) e identificación de todos los Titulares de Datos de Uber afectados – si aplica –, incluyendo la cantidad de niños, adolescentes o personas mayores impactadas.
        5. Las consecuencias previstas del Incidente de Seguridad de Datos, incluyendo posibles daños y si el Incidente de Seguridad de Datos puede impedir que los Titulares de Datos de Uber afectados: (i) ejerzan sus derechos; y/o (ii) accedan o utilicen servicios.
        6. Una descripción de las medidas que el Proveedor ha tomado o planea tomar para mitigar dichas consecuencias y proteger la Información Confidencial de Uber.
        7. Los planes del Proveedor para acciones correctivas en respuesta al Incidente de Seguridad de Datos.
     3. Notificaciones a Terceros: El Proveedor asistirá a Uber en el envío de las notificaciones requeridas por ley a cualquier Titular de Datos, autoridad reguladora o tercero (“Notificaciones a Terceros”). En este caso: (i) Uber tendrá control exclusivo sobre el contenido, el cronograma y el método de distribución de dicha notificación, salvo que la ley disponga lo contrario; (ii) El Proveedor solo podrá realizar una Notificación a Terceros con la aprobación previa y por escrito de Uber, a menos que la legislación aplicable exija lo contrario (en cuyo caso, el Proveedor deberá proporcionar a Uber, con la mayor brevedad posible y siempre antes de la notificación, una copia de dicha notificación destinada a cualquier autoridad reguladora, Titular de Datos u otro tercero, salvo que la ley aplicable disponga lo contrario); y (iii) El Proveedor reembolsará a Uber por todos los gastos razonables incurridos por Uber en relación con cualquier notificación derivada de un Incidente de Seguridad de Datos por el cual el Proveedor sea total o parcialmente responsable.
     4. Confidencialidad: El Proveedor se abstendrá de divulgar la ocurrencia o cualquier información sobre un Incidente de Seguridad de Datos relacionado con Uber, la Información Confidencial de Uber, los Titulares de Datos de Uber o el Sistema de Uber, incluyendo cualquier notificación a autoridades gubernamentales, sin el consentimiento previo y por escrito de Uber.
     5. Mitigación y Remediación: El Proveedor deberá, de inmediato y sin demoras injustificadas: (i) Contener todas las vulnerabilidades, actividades y demás circunstancias que hayan causado o dado origen al Incidente de Seguridad de Datos; (ii) Adoptar todas las medidas correctivas necesarias y apropiadas, y cooperar razonablemente con Uber para mitigar y remediar dicho Incidente de Seguridad de Datos.
     6. Solicitudes de Información Pública: El Proveedor será responsable de gestionar y responder a consultas, preguntas u otras solicitudes de los medios de comunicación, la prensa u otros miembros del público (“Solicitudes de Información Pública”) relacionadas con un Incidente de Seguridad de Datos. El Proveedor designará a una o más personas responsables de gestionar y responder a dichas Solicitudes de Información Pública, y proporcionará a Uber, previa solicitud, los nombres y la información de contacto de todas estas personas.
  4. Retención y eliminación de datos: El Proveedor deberá Eliminar o devolver a Uber de inmediato, a criterio de Uber, toda la Información Confidencial de Uber que esté en su posesión, custodia o control, en los siguientes casos: (i) Con la rescisión o terminación del Contrato Principal; (ii) En caso de disolución o insolvencia del negocio del Proveedor; (iii) Cuando el Tratamiento ya no sea necesario para el cumplimiento de sus obligaciones bajo el Contrato Principal; o (iv) A solicitud de Uber.
  5. Evaluaciones de Riesgo
     1. El Proveedor deberá completar y ser aprobado en una evaluación de riesgos de seguridad de la información ("Evaluación de Riesgo") realizada por Uber antes de la Fecha de Entrada en Vigor. Después de la Evaluación de Riesgos inicial, el Proveedor deberá completar Evaluaciones de Riesgo realizadas por el equipo de Gestión de Riesgos de Terceros de Uber periódicamente (no más de una vez al año) o en los siguientes casos: (i) El Proveedor comience a ofrecer productos o servicios adicionales a Uber que no estaban dentro del alcance de la Evaluación de Riesgo inicial o de la última Evaluación de Riesgo realizada; (ii) La naturaleza o los fines del Tratamiento de la Información Confidencial de Uber cambien; (iii) El Proveedor comience a transferir Datos Personales de Uber a un país que no estaba dentro del alcance de la Evaluación de Riesgo inicial o de la última Evaluación de Riesgo realizada; (iv) El Proveedor implemente cambios significativos en el Tratamiento de la Información Confidencial de Uber que puedan afectar la seguridad de los datos o la capacidad del Proveedor para cumplir con este Contrato; (v) Una Evaluación de Riesgo sea razonablemente necesaria para que Uber cumpla con las Leyes de Protección de Datos u otras obligaciones relacionadas con la seguridad de datos; (vi) Una Evaluación de Riesgo sea razonablemente necesaria para que Uber cumpla con una solicitud, orden o acuerdo con una autoridad reguladora, o con alguna otra obligación legal; o (vii) Ocurra un Incidente de Seguridad de Datos.
     2. Requisitos: El Proveedor proporcionará a Uber toda la información razonablemente necesaria para completar la Evaluación de Riesgo. Dicha información puede incluir, entre otras: Cuestionarios de evaluación de riesgos; Políticas y procedimientos de seguridad de datos; Políticas y procedimientos de clasificación y manejo de datos; Informes de cumplimiento o auditorías de seguridad de datos que evalúen la efectividad del programa de seguridad de la información, sistemas, controles internos y procesos relacionados con el Tratamiento de los Datos Personales de Uber por parte del Proveedor, considerando marcos de referencia reconocidos en la industria, como ISO, SSAE16, SOC o NIST; Otra información solicitada por Uber para evaluar el programa de seguridad de la información del Proveedor, sus controles y el Tratamiento de la Información Confidencial de Uber. Copias de las políticas, procesos y otros documentos del Proveedor podrán ser proporcionadas a Uber o presentadas mediante una aplicación de compartición de pantalla, según lo acuerden las Partes.
     3. Logs de Auditoría: El Proveedor deberá mantener registros y logs de auditoría de los Sistemas de Información, incluyendo logs de aplicaciones, logs de acceso, logs de autenticación, logs de red, logs de dispositivos de usuarios finales y logs de sistemas de seguridad, en la medida necesaria para permitir el monitoreo, análisis, investigación y reporte de actividades ilegales, no autorizadas o inadecuadas dentro del Sistema. Además, deberá garantizar que las acciones de los usuarios individuales dentro de los Sistemas de Información puedan ser rastreadas de manera única hasta dichos usuarios, de modo que puedan ser responsabilizados por sus acciones y que puedan llevarse a cabo investigaciones adecuadas sobre Incidentes de Seguridad de Datos.
  6. Auditorías.
     1. Auditorías: El Proveedor permitirá que Uber, mediante notificación por escrito y con una antelación razonable, audite, durante el horario comercial y a su propio costo, las instalaciones, redes, sistemas y procedimientos, así como el Tratamiento de la Información Confidencial de Uber y el cumplimiento de este Contrato. Uber podrá ejercer este derecho una vez al año, excepto en los casos en que haya ocurrido un Incidente de Seguridad de Datos o cuando sea necesario para cumplir con las Leyes de Protección de Datos u otras obligaciones legales.
     2. Requisitos de Auditoría: El Proveedor cooperará razonablemente con las auditorías descritas en el párrafo anterior, proporcionando acceso a personal calificado, instalaciones físicas (según corresponda), documentación, infraestructura y cualquier software o aplicación que Trate Información Confidencial de Uber o tenga acceso a las instalaciones, redes, sistemas y procedimientos de Uber. Uber será responsable de los costos y gastos relacionados con dicha auditoría (o de los honorarios y costos del tercero que realice la auditoría), salvo que dicha auditoría revele o haya sido iniciada debido a un incumplimiento material del Contrato Principal, incluyendo este Contrato. En tal caso, el Proveedor reembolsará a Uber por dichos costos y gastos. El Proveedor deberá revisar y corregir de inmediato todas las deficiencias identificadas en cualquier auditoría.
  7. Subencargados
     1. Subencargados Permitidos: El Proveedor NO deberá permitir que ningún Subencargado trate Información Confidencial de Uber, excepto aquellos identificados durante una Evaluación de Riesgo. En caso de que el Proveedor desee contratar a cualquier otro Subencargado, deberá notificar a Uber con al menos 30 días de antelación antes del inicio de dicho tratamiento, incluyendo los propósitos para los cuales el Subencargado tratará la Información Confidencial de Uber. Si Uber no presenta objeción a dicha contratación, se considerará que Uber ha aprobado la contratación del Subencargado.
     2. Obligaciones del Subencargado: El Proveedor deberá firmar un contrato con cada Subencargado antes del inicio del tratamiento de la Información Confidencial de Uber, imponiendo obligaciones que no sean menos restrictivas y que ofrezcan, como mínimo, el mismo nivel de protección a la Información Confidencial de Uber que las obligaciones impuestas al Proveedor en virtud de este Contrato. Uber podrá solicitar una copia de dicho contrato y podrá denegar la autorización para el uso de ese Subencargado en caso de que el Proveedor no proporcione el contrato o si este no contiene protecciones adecuadas para la Información Confidencial de Uber. El Proveedor podrá suprimir partes del contrato antes de compartirlo con Uber, en la medida necesaria para proteger sus secretos comerciales o información confidencial.
     3. Cumplimiento del Subencargado con las Leyes de Protección de Datos: El Proveedor es responsable de garantizar que los Subencargados cumplan con las Leyes de Protección de Datos aplicables en lo que respecta al Tratamiento de los Datos Personales de Uber por parte de los Subencargados.
     4. Subencargado: El uso de Subencargados por parte del Proveedor no afecta ni limita la responsabilidad del Proveedor en virtud de este Contrato.
  8. Indemnización: Prevalecerán las disposiciones de Indemnización del Contrato principal.

REQUISITOS: DATOS PERSONALES DE UBER

• 1. Papel de las Partes: Salvo disposición en contrario en el Contrato Principal, las Partes reconocen y acuerdan que Uber es el Responsable del Tratamiento de los Datos Personales de Uber tratados en conexión con el Contrato Principal^[1], y que el Proveedor actúa como Encargado en relación con dicho Tratamiento.
  2. Requisitos generales: El Proveedor reconoce y acepta que:
     1. Comprende y cumplirá con todos los requisitos de las Leyes de Protección de Datos aplicables en relación con el Tratamiento de los Datos Personales de Uber.
     2. Notificará a Uber si determina que ya no puede cumplir con sus obligaciones bajo las Leyes de Protección de Datos aplicables, a menos que la ley exija lo contrario. Al recibir dicha notificación, Uber podrá tomar medidas razonables y apropiadas para interrumpir el Tratamiento de los Datos Personales de Uber por parte del Proveedor y remediar cualquier riesgo para los Titulares de Datos de Uber derivado de dicho Tratamiento. El Proveedor deberá ayudar razonablemente a Uber con respecto a dichas medidas (incluyendo, si corresponde, la cesación del Tratamiento).
     3. No alquilará, venderá, compartirá, divulgará, combinará con otros datos ni tratará de ninguna otra forma los Datos Personales de Uber para ningún propósito, excepto cuando sea necesario para cumplir con sus obligaciones bajo el Contrato Principal, salvo acuerdo en contrario por escrito entre las Partes.
     4. No intentará reidentificar a ningún Titular de Datos de Uber utilizando datos desidentificados que le hayan sido proporcionados o que haya recopilado.
     5. No permitirá que ningún empleado del Proveedor trate los Datos Personales de Uber, salvo que dicho empleado haya acordado mantener la confidencialidad de los Datos Personales de Uber o esté legalmente obligado a hacerlo. El Proveedor es exclusivamente responsable de las acciones y omisiones de sus empleados.
  3. Requisitos del Encargado: Si el Proveedor Trata Datos Personales de Uber en calidad de Encargado, deberá, en relación con cualquier Dato Personal de Uber Tratado bajo esta designación:
     1. Tratar únicamente los Datos Personales de Uber de acuerdo con las instrucciones escritas de Uber, salvo que la ley exija lo contrario.
     2. Asistir a Uber, en la medida de lo razonable y apropiado, para:
        1. Cumplir con sus obligaciones en virtud de los Artículos 32 hasta 36 del GDPR, según corresponda, o con obligaciones análogas establecidas en las Leyes de Protección de Datos aplicables.
        2. Ayudar a Uber a demostrar su conformidad con las Leyes de Protección de Datos aplicables, incluyendo, cuando corresponda, el Artículo 28 del GDPR o disposiciones equivalentes en otras Leyes de Protección de Datos aplicables.
     3. El Proveedor deberá permitir que Uber tome medidas razonables y apropiadas para garantizar que el uso de los Datos Personales de Uber por parte del Proveedor esté alineado con las obligaciones de Uber bajo las Leyes de Protección de Datos aplicables, así como para interrumpir y corregir cualquier uso no autorizado de los Datos Personales de Uber.
     4. Salvo que la ley disponga lo contrario, el Proveedor notificará de inmediato a Uber sobre cualquier solicitud realizada por un Titular de Datos de Uber, una entidad gubernamental o una autoridad reguladora con competencia sobre el Proveedor o Uber, relacionada con el Tratamiento de los Datos Personales de Uber por parte del Proveedor. Además, deberá cooperar con Uber en la respuesta a dicha solicitud o requerimiento.
  4. Requisitos del Responsable del Tratamiento: si el Proveedor es designado como Responsable del Tratamiento en el Acuerdo principal, reconoce y acepta que:
     1. Es un Responsable del Tratamiento único de los Datos Personales de Uber, de acuerdo con las Leyes de Protección de Datos.
     2. Determinará los fines y los medios del Tratamiento de los Datos Personales de Uber.
     3. Es responsable de su propio cumplimiento de las Leyes de Protección de Datos aplicables, incluyendo la notificación a los Titulares de Datos sobre el Tratamiento de sus Datos Personales, la forma en que pueden ejercer sus derechos y la obtención de los consentimientos necesarios.
     4. Cumplirá con las obligaciones que le sean aplicables de acuerdo con las Leyes de Protección de Datos en relación con el Tratamiento de los Datos Personales de Uber.
  5. Transferencias Internacionales: Si el Tratamiento de Datos Personales por parte del Proveedor implica la transferencia internacional de Datos Personales de los Titulares de Datos de Uber:
     1. El Proveedor cumplirá con todas las Leyes de Protección de Datos aplicables a dichas transferencias.
     2. Si dicha transferencia implica la transferencia de Datos Personales de Uber desde Titulares de Datos en el EEE y/o Suiza hacia un país o territorio fuera de esas regiones que no haya sido reconocido por la Comisión Europea como que ofrece un nivel adecuado de protección de datos, las Partes incorporarán a este Contrato y acordarán cumplir con las Cláusulas Contractuales Tipo del 4 de junio de 2021 (“SCCs”). En este caso:
        1. El Módulo 1 (Responsable del Tratamiento a Responsable del Tratamiento) se aplicará si el Proveedor es designado como Responsable del Tratamiento.
        2. El Módulo 2 (Responsable del Tratamiento a Encargado) se aplicará si el Proveedor es designado como Encargado.
        3. La Cláusula opcional 7 no será aplicable.
        4. Los términos contenidos en la Cláusula opcional 11 no serán aplicables.
        5. La ley aplicable para los fines de la Cláusula 17 será la de Países Bajos.
        6. Los tribunales competentes según la Cláusula 18 serán los tribunales de Países Bajos, salvo acuerdo en contrario entre las Partes en el Contrato Principal.
        7. La autoridad supervisora competente para los fines de la Cláusula 13 será la Autoridad de Protección de Datos de los Países Bajos (Autoriteit Persoonsgegevens), salvo acuerdo en contrario entre las Partes en el Contrato Principal.
        8. Las Partes declaran que no creen que las leyes y prácticas de ningún país al que se transfieran los Datos Personales de Uber para los fines del Contrato Principal impidan que el Proveedor cumpla con sus obligaciones según las SCCs.
        9. En lugar del Anexo 1 de las SCCs, las Partes acuerdan que:
           1. La identidad y la información de contacto de Uber, como exportador de datos, y del Proveedor, como importador de datos, son las especificadas en el Contrato Principal y en este Contrato.
           2. La naturaleza y el propósito del Tratamiento están destinados a la prestación de los Servicios o según lo especificado en el Contrato Principal o en este Contrato.
           3. Los Datos Personales de Uber transferidos serán retenidos por el Proveedor según lo especificado en el Contrato Principal o en este Contrato.
           4. Las categorías de Titulares de Datos de Uber y los Datos Personales de Uber transferidos son aquellas documentadas en la Evaluación de Riesgo realizada antes del Tratamiento de Datos Personales de Uber.
        10. En lugar del Anexo 2 de las SCCs, las Partes acuerdan cumplir con el Anexo 1 del presente Contrato.
        11. En lugar del Anexo 3 de las SCCs, las Partes acuerdan que los Subencargados autorizados para el Tratamiento de Datos Personales de Uber son aquellos identificados en la Evaluación de Riesgo realizada antes del Tratamiento de los Datos Personales de Uber, o según lo especificado en este Contrato o en el Contrato Principal.
     3. Si el Tratamiento de Datos Personales por parte del Proveedor implica la transferencia de Datos Personales de los Titulares de Datos de Uber en el Reino Unido hacia una jurisdicción que no haya sido reconocida como que ofrece un nivel adecuado de protección de datos, las SCCs serán aplicables, sujetas a los términos del "UK Addendum to the EU Standard Contractual Clauses", emitido por la Information Commissioner's Office ("ICO") conforme al Artículo s.119A del United Kingdom Data Protection Act 2018 ("Adendo del Reino Unido"). Dicho Adendo del Reino Unido se considerará celebrado entre el Proveedor y Uber, y estará sujeto a la Sección 3.5.2 de este Contrato, según corresponda.
     4. Si el Tratamiento de Datos Personales por parte del Proveedor implica la transferencia de Datos Personales de los Titulares de Datos de Uber en Brasil hacia un país o territorio que no haya sido reconocido por la autoridad competente como apto para proporcionar un nivel adecuado de protección de datos, las Partes incorporan y acuerdan cumplir con las Cláusulas Contractuales Estándar Brasileñas contenidas en el Anexo II de la Resolución CD/ANPD n.º 19, de 23 de agosto de 2024 ("SCCs Brasil"). En este caso:
        1. La Sección I – Información General de las SCCs Brasil se completa de la siguiente manera:
           1. Los cuadros descriptivos contenidos en la Cláusula 1.1 de las SCCs Brasil se sustituyen por la información de identificación y contacto de las Partes contenida en el Contrato Principal y en este Contrato, considerando que: Uber es el Exportador y Responsable del Tratamiento de los Datos Personales de los Titulares de Uber; y el Proveedor es el Importador de los Datos Personales de los Titulares de Uber y desempeña el papel indicado en la Cláusula 3.1 ("Papel de las Partes") de este Contrato o según lo establecido en el Contrato Principal.
           2. Las casillas de selección contenidas en la Cláusula 1.1 de las SCCs Brasil relativas a los roles desempeñados por las Partes se marcarán conforme a la información de la Sección 3.5.4.1.1 anterior: Para Uber, se marcará la casilla de “Exportador/Responsable del Tratamiento”. Para el Proveedor, se marcará la casilla de “Importador”, con la clasificación correspondiente a su papel (Responsable del Tratamiento o Encargado) según la Cláusula 3.1 – Papel de las Partes de este Contrato o según lo establecido en el Contrato Principal.
           3. Las Partes acuerdan que: (i) Los principales fines del Tratamiento están destinados a la prestación de los Servicios, o según lo especificado en el Contrato Principal o en este Contrato. (ii) Los Datos Personales de Uber transferidos serán retenidos por el Proveedor según lo especificado en el Contrato Principal o en este Contrato. (iii) Las categorías de Titulares de Datos de Uber y los Datos Personales de Uber transferidos son aquellas documentadas en la Evaluación de Riesgo realizada antes del Tratamiento de Datos Personales de Uber. Esta información sustituye el cuadro de descripción de la transferencia internacional de datos contenido en la Cláusula 2.1 de las SCCs Brasil.
           4. Si el Proveedor actúa como Encargado, se adoptará la Opción B de la Cláusula 3.1 de las SCCs Brasil, que trata sobre Transferencias Posteriores. En este caso, el cuadro descriptivo de la Cláusula 3.1 de las SCCs Brasil será sustituido por la Evaluación de Riesgo realizada antes del Tratamiento de los Datos Personales de Uber por parte del Proveedor o según lo establecido en el Contrato Principal. Si el Proveedor actúa como Responsable del Tratamiento, se adoptará la Opción A de la Cláusula 3.1 de las SCCs Brasil, que trata sobre Transferencias Posteriores.
           5. Se adoptará la Opción A de la Cláusula 4.1 de las SCCs Brasil, que trata sobre Responsabilidades de las Partes, marcando en cualquier caso todas las casillas de "Exportador" en los ítems 'a', 'b' y 'c'. Las casillas de "Importador" en los ítems mencionados también serán marcadas únicamente si el Proveedor actúa como Responsable del Tratamiento de Datos Personales. Si el Proveedor actúa como Encargado, estas casillas quedarán en blanco, de acuerdo con la Cláusula 3.1 – Papel de las Partes de este Contrato o según lo establecido en el Contrato Principal.
           6. Las Partes incorporan y acuerdan cumplir en su totalidad con todas las Cláusulas Obligatorias contenidas en la Sección II de las SCCs Brasil, disponibles para consulta aquí.
           7. El cuadro contenido en la Sección III de las SCCs Brasil será sustituido por el Anexo 1 de este Contrato, que contiene las Medidas Organizacionales/Administrativas de Seguridad, con las cuales las Partes están de acuerdo.

DISPOSICIONES GENERALES

• 1. Fecha de entrada en vigor: Este Contrato entrará en vigor en la fecha de firma del Contrato Principal.
  2. Rescisión y subsistencia: No obstante cualquier disposición en contrario en el Contrato Principal, este Contrato y todas sus disposiciones seguirán vigentes mientras, y en la medida en que, el Proveedor trate o retenga Información Confidencial de Uber.
  3. Incumplimiento: El Proveedor deberá informar inmediatamente a Uber en caso de que no pueda cumplir con este Contrato. Si el Proveedor no puede cumplir dentro de un plazo razonable o si incumple de manera sustancial o recurrente este Contrato o sus obligaciones derivadas del mismo, Uber tendrá derecho a rescindir este Contrato y el Contrato Principal en lo que respecta al Tratamiento de la Información Confidencial de Uber.
  4. Cláusula nula: Si alguna disposición individual de este Contrato es o se vuelve nula, la validez de las demás disposiciones no se verá afectada. Las Partes deberán reemplazar la cláusula nula por una cláusula legalmente válida que refleje, en la mayor medida posible, la intención comercial originalmente prevista.
  5. Conflictos: En caso de conflicto entre este Contrato y el Contrato Principal, este Contrato prevalecerá. En caso de conflicto entre este Contrato y un Business Associate Agreement ("BAA") conforme a la HIPAA entre Uber y el Proveedor, el BAA prevalecerá.
  6. Ley aplicable y jurisdicción: La ley y la jurisdicción establecidas en el Contrato Principal serán aplicables a este Contrato.

ANEXO 1
Medidas Organizativas/Administrativas, Físicas y Técnicas

1. Medidas de Seguridad Organizativas/Administrativas: El Proveedor ha implementado, mantendrá y actualizará, según corresponda, a lo largo del Tratamiento de la Información Confidencial de Uber (siempre que dichas actualizaciones no reduzcan ni debiliten las salvaguardas adoptadas para proteger la Información Confidencial de Uber):
   1. Un programa integral de seguridad de la información y redes, compuesto por políticas, prácticas y procedimientos que rigen los Servicios (colectivamente, el "Programa de Seguridad de Datos"), que: (i) Cumpla con las mejores prácticas vigentes; (ii) Cumpla con todas las Leyes de Protección de Datos aplicables; (iii) Cuando corresponda, cumpla con los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS); y (iv) Cumpla o esté alineado con los estándares de seguridad ISO 27000, NIST 800-53, CIS Top 20 o HITRUST. A solicitud de Uber, el Proveedor deberá proporcionar documentación relacionada con su Programa de Seguridad de Datos.
   2. Un programa documentado de prevención contra la pérdida de datos, diseñado para detectar, prevenir y mitigar el riesgo de Incidentes de Seguridad de Datos, que debe incluir, como mínimo:
      1. Políticas y controles técnicos apropiados diseñados para evitar la pérdida de Información Confidencial de Uber.
      2. Un plan de continuidad del negocio/recuperación ante desastres, documentado y probado regularmente para garantizar la continuidad operativa, abordando el acceso, mantenimiento y almacenamiento de la Información Confidencial de Uber, así como los requerimientos de seguridad para ubicaciones de respaldo y redes de comunicación alternativas.
   3. Políticas y procedimientos para limitar el acceso a la Información Confidencial de Uber únicamente a aquellas personas que necesiten dicho acceso para cumplir con sus funciones y responsabilidades en relación con el Contrato Principal.
   4. Procedimientos para verificar todos los derechos de acceso mediante métodos de autenticación efectivos.
   5. Un proceso para realizar evaluaciones de riesgo de seguridad de la información, al menos una vez cada dos años, para cualquier Encargado o Subencargado del Proveedor con acceso a la Información Confidencial de Uber. Dichos Encargados/Subencargados deberán contar con controles de seguridad de la información que no sean menos estrictos que los requisitos establecidos en este Contrato. Uber podrá solicitar una copia de la evaluación de riesgo realizada por el Proveedor en cualquier Subencargado, y podrá suspender la autorización para el uso de dicho Subencargado si la evaluación revela que no cuenta con controles de seguridad adecuados para proteger la Información Confidencial de Uber.
   6. Un programa de concienciación en seguridad para el personal del Proveedor, que incluya entrenamientos regulares sobre manejo seguro de datos, protección de contraseñas y credenciales, ingeniería social e identificación y notificación de posibles incidentes de seguridad.
   7. Un programa continuo de gestión de vulnerabilidades, utilizando un proceso de clasificación de riesgos basado en estándares de la industria para priorizar la corrección de vulnerabilidades identificadas. Si se detecta una vulnerabilidad que pueda afectar la confidencialidad, disponibilidad o integridad de la Información Confidencial de Uber, el Proveedor deberá proporcionar, a solicitud, evidencia suficiente que demuestre que la vulnerabilidad ha sido corregida o permitir que Uber determine si ha ocurrido un Incidente de Seguridad de Datos.
   8. Un programa de gestión segura de activos, alineado con los estándares de la industria, que incluya clasificación de activos e inventario de dispositivos y Sistemas donde se Trate la Información Confidencial de Uber.
   9. Procesos formales y documentados por escrito para detectar, identificar, reportar, responder, mitigar y corregir Incidentes de Seguridad de Datos de manera oportuna.
   10. Ejercicios de simulación de incidentes, como tabletop exercises o pruebas de intrusión, planificados y realizados regularmente.
   11. Un programa de pruebas de penetración, que abarque una amplia gama de ataques, incluyendo ataques basados en clientes y aplicaciones web.
   12. Un programa de gestión de riesgos para servicios en la nube, garantizando que las configuraciones y protecciones de seguridad esenciales estén activadas.
   13. Prácticas seguras de codificación, adecuadas al lenguaje de programación utilizado, con entrenamientos para el personal sobre escritura de código seguro.
   14. Una política de acceso a datos por parte de agencias gubernamentales, que rechace el acceso gubernamental a datos, salvo que dicho acceso sea exigido por ley o en caso de riesgo inminente de daño grave a personas.
   15. Políticas y procedimientos para evaluar la base legal y responder a solicitudes de acceso a datos por parte de agencias gubernamentales.
   16. Capacitación específica para los empleados responsables de gestionar solicitudes de acceso a datos de agencias gubernamentales, incluyendo los requisitos establecidos en las Leyes de Protección de Datos aplicables.
   17. Procesos para documentar y registrar solicitudes de acceso realizadas por agencias gubernamentales, las respuestas proporcionadas y las autoridades involucradas.
   18. Procedimientos para notificar a Uber sobre cualquier solicitud o requerimiento de acceso a datos por parte de agencias gubernamentales, salvo que la ley lo prohíba.
2. Medidas de Seguridad Física
   1. El Proveedor ha implementado, mantendrá y actualizará, según corresponda, medidas de seguridad física adecuadas en cualquier instalación utilizada para Tratar la Información Confidencial de Uber, y monitoreará continuamente cualquier cambio en la infraestructura física, las operaciones comerciales y las amenazas conocidas.
3. Medidas Técnicas de Seguridad
   1. Durante el Tratamiento de la Información Confidencial de Uber, el Proveedor deberá: Realizar evaluaciones de vulnerabilidad en las aplicaciones e infraestructura utilizadas para Tratar la Información Confidencial de Uber.
   2. Proteger sus redes informáticas mediante múltiples capas de controles de acceso, incluyendo autenticación de múltiples factores para prevenir accesos no autorizados.
   3. Restringir el acceso mediante mecanismos como aprobaciones de la gerencia, controles sólidos, registros de acceso y auditorías periódicas.
   4. Implementar y mantener registros de logs en todos los Sistemas que Traten Información Confidencial de Uber, con detalles suficientes para permitir que el Proveedor determine si ha ocurrido un Incidente de Seguridad de Datos y las posibles consecuencias del mismo, incluyendo, entre otros, si la Información Confidencial de Uber fue accedida, adquirida, modificada o eliminada. Estos logs de eventos deberán ser conservados por al menos 13 (trece) meses y deberán estar disponibles para Uber a solicitud, dentro de un plazo máximo de 7 (siete) días naturales a partir de la solicitud. Si los logs contienen información de eventos relacionados con otras empresas o clientes, el Proveedor deberá segregar los datos del registro de eventos de Uber cuando sea solicitado.
   5. Identificar otros Sistemas y aplicaciones que requieran monitoreo y registro de eventos de seguridad, y mantener registros de logs de manera adecuada.
   6. Revisar y analizar logs de eventos mediante monitoreo continuo y automatizado, con procesos de alerta para detectar, responder e investigar eventos y actividades anómalas.
   7. Utilizar software comercial de detección de virus/malware, actualizado y basado en estándares de la industria, capaz de identificar código malicioso en todos los Sistemas que Traten Información Confidencial de Uber.
   8. Aplicar protecciones de seguridad perimetral y entre redes, asegurando la segregación y protección adecuada del tráfico de datos.
   9. Cifrar la Información Confidencial de Uber en tránsito para garantizar su seguridad durante la transferencia.
   10. Cifrar la Información Confidencial de Uber en reposo y gestionar y proteger todas las claves de cifrado de manera exclusiva, es decir, ningún tercero, incluidos Encargados o Subencargados, deberá tener acceso a estas claves.

Para más información sobre los Responsables del Tratamiento de la Información Confidencial de Uber en su región, consulte el Aviso de privacidad de Uber. Si una persona jurídica diferente del Responsable del Tratamiento designado celebra este Contrato en nombre de Uber, dicha entidad está autorizada para hacerlo por el(los) Responsable(s) del Tratamiento correspondiente(s). Uber se reserva el derecho de designar otra afiliada como Responsable del Tratamiento para los fines de este Contrato.