Introducción al Acuerdo de procesamiento de datos de Uber

Uber requiere que sus proveedores acepten los Términos establecidos en su Acuerdo de procesamiento de datos (“APD”) que rigen el procesamiento de la Información confidencial de Uber, incluidos los Datos personales de Uber.

El objetivo de estos Términos es proteger la confidencialidad y la seguridad de la Información confidencial de Uber y permitir que Uber cumpla con los requisitos en virtud de las leyes globales de protección de datos, incluido, según corresponda (en función del procesamiento de Datos personales de Uber por parte de los proveedores), el Reglamento General de Protección de Datos de la Unión Europea ( “RGPD”), la Lei Geral de Proteção de Dados Pessoais (“LGPD”) de Brasil, la Ley de Privacidad de Australia, la Ley de Protección de Datos Personales Digitales de India y las leyes estatales de privacidad de EE. UU., incluida la Ley de Privacidad del Consumidor de California (“CCPA”).

El APD aborda específicamente lo siguiente:

1. Requisitos y limitaciones generales con respecto al procesamiento de la Información confidencial de Uber por parte de los proveedores, incluso en lo que respecta a la seguridad de los datos, incidentes de seguridad de datos, evaluaciones y auditorías de riesgos, conservación y eliminación de datos, y uso de subprocesadores.
   
2. Designación de las funciones que desempeñan Uber y los proveedores con respecto al procesamiento de los Datos personales de Uber.
   1. El APD requiere específicamente que las partes indiquen si cada una actúa como lo siguiente:
      1. “Controlador” o “Procesador”.
      2. “Empresa”, “Proveedor de servicios”, “Contratista” o “Tercero”, tal como se definen esos términos en la CCPA.
   2. El APD también especifica las responsabilidades de cada parte en función de las designaciones anteriores.

Si tiene preguntas sobre el APD de Uber, notifique a su contacto de Uber.

ACUERDO DE PROCESAMIENTO DE DATOS DE UBER

Este Acuerdo de procesamiento de datos (“Acuerdo”) establece los requisitos aplicables al Procesamiento de lo siguiente por parte del Proveedor: (1) Información confidencial de Uber, incluidos los Datos personales de Uber (consulte la Sección 2 a continuación); y (2) Datos personales de Uber (consulte la Sección 3 a continuación).

Este Acuerdo forma parte de los acuerdos principales entre Uber y la empresa o entidad (“Proveedor”) (cada uno individualmente una Parte y, en conjunto, las “Partes”) y todos los demás acuerdos celebrados en virtud de este (en conjunto, el “Acuerdo principal”).

SECCIÓN 1: DEFINICIONES

Además de los términos definidos a continuación, “Empresa”, “Contratista”, “Venta”, “Vender”, “Proveedor de servicios” y “Compartir” tendrán los significados establecidos en la CCPA o la Ley de Derechos de Privacidad de California (CPRA).

1. Controlador: persona física o jurídica que, sola o junto con otras, determina el fin y los medios del Procesamiento de Datos personales.
2. Leyes de protección de datos: todas las leyes y reglamentaciones aplicables al Procesamiento de Datos personales de Uber en virtud de este APD.
   
3. Titular de los datos: persona física con la que se relacionan los Datos personales.
4. Incidente de seguridad de datos: cualquier acceso no autorizado real o sospechado razonablemente a Información confidencial de Uber, así como la adquisición o el Procesamiento ilegal de dicha información, o compromiso de la seguridad o integridad de Información confidencial de Uber o cualquier Sistema utilizado por el Proveedor o sus Subprocesadores para Procesar dichos datos.
   
5. Eliminar: destruir física o lógicamente la Información confidencial de Uber para que no se pueda recuperar.
   
6. Descubrimiento: cualquier caso en el que el Proveedor descubra un Incidente de seguridad de datos, se le notifique de un Incidente de seguridad de datos o habría descubierto un Incidente de seguridad de datos si hubiera actuado con la diligencia debida.
   
7. Datos personales: cualquier información relacionada con un Titular de los datos identificado o identificable.
   
8. Procesar: cualquier operación o conjunto de operaciones que se realiza con Datos personales o conjuntos de Datos personales, ya sea por medios automatizados o no, como la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, alineación o combinación, restricción, borrado o destrucción.
   
9. Procesador: una entidad física o jurídica que procesa datos personales en nombre de un Controlador.
   
10. Subprocesador: un Procesador contratado por el Proveedor para Procesar la Información confidencial de Uber.
    
11. Sistema: cualquier sistema de archivos, sistema informático, base de datos, dispositivo, equipo, servidor, sitio web, app, software, medio de almacenamiento, red, infraestructura, entorno de red o dominio, incluidos, entre otros, todos los entornos de desarrollo, control de calidad, preparación y producción.
    
12. Uber: Uber Technologies, Inc. y cualquier subsidiaria o filial de Uber.
    
13. Titular de los datos de Uber: Cualquier Titular de los datos cuyos Datos personales de Uber sean o vayan a ser Procesados por el Proveedor.
    
14. Datos personales de Uber: Datos personales del Titular de los datos de Uber que Procesa el Proveedor para los fines del Acuerdo.
    
    A los efectos de este Acuerdo, los Datos personales de Uber no incluyen el nombre ni la información de contacto de los empleados de Uber que son responsables de interactuar con el Proveedor en relación con el Acuerdo principal, ni los Datos personales que el Proveedor recibe de manera incidental como resultado de esas interacciones.
    
15. Información confidencial de Uber: todos los datos, registros o información, incluidos los Datos personales de Uber, que son propiedad de Uber o están bajo su control y que se divulgan, proporcionan o ponen a disposición del Proveedor por parte de Uber o en su nombre, o que son recopilados, creados, mantenidos o usados por el Proveedor en nombre de Uber, en relación con los Servicios, como se describe en el Acuerdo.
    
16. Sistema de Uber: cualquier Sistema que Uber posea, tenga su licencia, opere o controle, o al que Uber haya otorgado acceso al Proveedor.

SECCIÓN 2: REQUISITOS: INFORMACIÓN CONFIDENCIAL DE UBER

1. Seguridad de datos: El Proveedor mantendrá las medidas de protección físicas, administrativas, organizativas y técnicas adecuadas, así como otras medidas de seguridad, para mantener la integridad, seguridad y confidencialidad de la Información confidencial de Uber, que incluirán, como mínimo, las establecidas en el Apéndice 1 de este Acuerdo.
2. Gerente de seguridad: El Proveedor designará a una persona responsable de administrar y coordinar el cumplimiento de las obligaciones del Proveedor en virtud de este Acuerdo, y de ponerlas a disposición de Uber durante la vigencia del Acuerdo principal.
3. Incidentes de seguridad de datos
   1. Investigación. El Proveedor tomará todas las medidas razonables tras el Descubrimiento de un Incidente de seguridad de datos para investigar completa y exhaustivamente la causa, naturaleza y alcance del compromiso de dicho Incidente de seguridad de datos a cuenta del Proveedor; remediar y mitigar los efectos del Incidente de seguridad de datos; y proporcionar a Uber toda la información requerida o solicitada para que Uber cumpla con las leyes aplicables y los procesos internos de respuesta a Incidentes de seguridad de datos. A pedido de Uber, el Proveedor proporcionará reportes complementarios detallados sobre su investigación y hallazgos. El Proveedor, a su cargo, cooperará plenamente con Uber en la investigación y respuesta de cada Incidente de seguridad de datos, lo que incluye permitir el acceso rápido a sus Sistemas o instalaciones por parte de Uber o de su investigador.
      
   2. Aviso a Uber. El Proveedor notificará a Uber dentro de las cuarenta y ocho (48) horas posteriores al Descubrimiento a través de las personas o el equipo Uber designados para recibir avisos en virtud del Acuerdo principal y por correo electrónico a vendorsecurity@uber.com. El Proveedor deberá incluir lo siguiente en dicho aviso y complementarlo según sea necesario:
      1. una descripción del Incidente de seguridad de datos, incluida la causa (si es identificable), ubicación, fecha u hora y el Incidente de seguridad de datos y su Descubrimiento;
         
      2. una descripción de las medidas que el Proveedor tomó o tomará para investigar y mitigar el impacto del Incidente de seguridad de datos;
         
      3. los tipos y el volumen de la Información confidencial de Uber afectada, incluso si los datos estaban encriptados o redactados;
         
      4. el número, ubicación (estado/país) e identidades de todos los Titulares de los datos de Uber afectados (si corresponde), incluido, cuando lo exijan las Leyes de protección de datos aplicables, el número de Titulares de los datos de Uber afectados que sean niños, adolescentes o personas mayores;
         
      5. las consecuencias previstas del Incidente de seguridad de datos;
         
      6. una descripción de las medidas que el Proveedor tomó o planea tomar para mitigar dichas consecuencias y proteger aún más la Información confidencial de Uber;
         
      7. los planes del Proveedor para la acción correctiva en respuesta al Incidente de seguridad de datos.
   3. Avisos a terceros. El Proveedor ayudará a Uber a proporcionar los avisos requeridos por la ley a cualquier titular de los datos, organismo regulador u otro tercero (“Aviso obligatorio”). En tal caso, (i) Uber tendrá el control exclusivo sobre el contenido, momento y método de distribución de dicho aviso, a menos que la ley exija lo contrario; (ii) el Proveedor puede enviar un Aviso obligatorio solo con la aprobación previa por escrito de Uber y según sus indicaciones, a menos que la ley aplicable exija lo contrario (en cuyo caso, el Proveedor deberá proporcionar a Uber una copia de dicho aviso lo antes posible y, en todos los casos, antes de enviarlo, a menos que la ley exija lo contrario); y (iii) el Proveedor devolverá a Uber todos los gastos razonables en los que Uber incurra en relación con cualquier aviso en el que el Proveedor sea total o parcialmente responsable del Incidente de seguridad de datos.
      
   4. No divulgación. El Proveedor se abstendrá de divulgar la existencia o información del Incidente de seguridad de datos en relación con Uber o cualquier Información confidencial de Uber, Titular de los datos de Uber o Sistema de Uber, incluso a cualquier autoridad gubernamental, sin el consentimiento previo por escrito de Uber.
      
   5. Mitigación y reparación. De inmediato y sin demoras injustificadas, el Proveedor deberá (i) contener todas las vulnerabilidades, actividades y otras circunstancias que causaron o dieron lugar al Incidente de seguridad de datos; (ii) realizar todas las acciones correctivas necesarias y apropiadas, y cooperará de manera razonable con Uber, para mitigar y rectificar dicho Incidente de seguridad de datos.
      
   6. Consultas del público. El Proveedor será responsable de administrar y responder las consultas, preguntas u otras solicitudes de los medios de comunicación, la prensa u otros miembros del público (“Consultas del público”) relacionadas con un Incidente de seguridad de datos. El Proveedor designará a una o más personas responsables de administrar y responder las Consultas del público, y proporcionará los nombres y la información de contacto de todas esas personas a Uber si así lo solicita.
      
4. Conservación y eliminación de los datos: El Proveedor eliminará o devolverá de inmediato a Uber (a elección de Uber) toda la Información confidencial de Uber en su posesión, custodia y control: (i) al finalizar o vencer el Acuerdo principal; (ii) en caso de liquidación o insolvencia de la empresa del Proveedor; (iii) una vez que ya no sea necesaria para cumplir con sus obligaciones en virtud del Acuerdo principal; o (iv) a pedido de Uber.
   
5. Evaluaciones de riesgo
   1. El Proveedor deberá completar y aprobar una evaluación de riesgos de seguridad de la información (“Evaluación de riesgos”) realizada por Uber antes de la Fecha de entrada en vigor.
      
      Después de la Evaluación de riesgos inicial, el Proveedor deberá completar las Evaluaciones de riesgos según lo solicite Uber no más de una vez al año, o en caso de que (i) el Proveedor comience a proporcionar productos o servicios adicionales a Uber, o a procesar Información confidencial de Uber adicional, que no estaban en el alcance durante la evaluación inicial o la más reciente; (ii) cambie la naturaleza o los fines del Procesamiento de la Información confidencial de Uber; (iii) el Proveedor comience a transferir Datos personales de Uber de los Titulares de los datos de Uber que se encuentren en el Espacio Económico Europeo (“EEE”) fuera de este o comience a transferir Datos personales de Uber a un tercer país diferente que no estaba dentro del alcance durante la evaluación inicial o la más reciente; (iv) el Proveedor realice un cambio sustancial en el Procesamiento de la Información confidencial de Uber que podría afectar la seguridad de esos datos o la capacidad del Proveedor para cumplir con este Acuerdo; (v) una evaluación sea razonablemente necesaria para que Uber cumpla con las Leyes de protección de datos u otras obligaciones de cumplimiento de seguridad de datos; (vi) una evaluación sea razonablemente necesaria para que Uber cumpla con una solicitud, orden o acuerdo con una obligación de supervisión u otra obligación legal; o (vii) se produzca un Incidente de seguridad de datos.
      
   2. Requisitos. El Proveedor proporcionará a Uber toda la información razonablemente necesaria para completar la Evaluación de riesgos. Dicha información puede incluir, entre otros, cuestionarios de evaluación de riesgos; reglamentos y procedimientos de seguridad de la información; reglamentos y procedimientos de clasificación y manejo de datos; reportes de auditoría o cumplimiento de seguridad de datos que evalúan la efectividad del programa, sistema(s), controles internos y procedimientos de seguridad de la información del Proveedor relacionados con el Procesamiento de Datos personales de Uber en comparación con un marco aceptado por la industria, como ISO, SSAE16, SOC o NIST; y otra información solicitada por Uber para evaluar el programa de seguridad de la información, los controles y el Procesamiento de la Información confidencial de Uber del Proveedor. Dicha información también incluye detalles sobre el Procesamiento de los Datos personales de Uber por parte del Proveedor, incluidos los tipos de datos, los fines del procesamiento, el tipo y la cantidad de Titulares de los datos de Uber, la ubicación del Procesamiento, los Subprocesadores y la conservación de datos. Las copias de los reglamentos, procedimientos u otros documentos del Proveedor pueden proporcionarse a Uber o presentarse a través de una app de pantalla compartida acordada mutuamente.
      
   3. Registros de auditoría. El Proveedor mantendrá registros y registros de auditoría de los Sistemas de información, incluidos registros de apps, registros de acceso, registros de autenticación, registros de red, registros de dispositivos de usuarios finales y registros del sistema de seguridad, en la medida necesaria para permitir el monitoreo, análisis, investigación y reporte de actividad del Sistema ilegal, no autorizada o inapropiada y garantizar que las acciones de los usuarios individuales del Sistema de información se puedan rastrear de manera única hasta esos usuarios para que puedan ser responsables de sus acciones y para permitir las investigaciones adecuadas de los Incidentes de seguridad de datos.
6. Auditorías.
   1. Auditorías. El Proveedor permitirá a Uber, con un aviso por escrito con anticipación razonable y durante el horario laboral, auditar a su cargo las instalaciones, redes, sistemas y procedimientos del Proveedor, así como su Procesamiento de la Información confidencial de Uber y cumplimiento de este Acuerdo. Uber puede ejercer este derecho no más de una vez al año, excepto cuando se produzca un Incidente de seguridad de datos o cuando sea necesario para cumplir con las Leyes de protección de datos u otra obligación legal.
   2. Requisitos de auditoría. El Proveedor cooperará de manera razonable con las auditorías descritas en el párrafo anterior proporcionando acceso a personal capacitado, instalaciones físicas (según corresponda), documentación, infraestructura y cualquier software de app que Procese Información confidencial de Uber o que tenga acceso a las instalaciones, redes, sistemas o procedimientos de Uber. Uber será responsable de los costos y gastos de dicha auditoría (o de los honorarios y costos del tercero que realice la auditoría), a menos que dicha auditoría revele o se inicie debido a un incumplimiento sustancial del Acuerdo principal, incluido el presente Acuerdo, en cuyo caso el Proveedor hará una devolución a Uber por dichos costos y gastos. El Proveedor abordará y corregirá de inmediato todas las deficiencias identificadas en dicha auditoría.
7. Subprocesadores
   1. Subprocesadores permitidos. El Proveedor NO permitirá que ningún Subprocesador Procese Información confidencial de Uber, excepto aquellos identificados durante una Evaluación de riesgos. Si el Proveedor busca contratar a cualquier otro Subprocesador, deberá notificar a Uber, incluso con respecto a los fines para los que Procesará la Información confidencial de Uber, al menos 30 días antes de dicho Procesamiento. Si Uber no se opone a dicha contratación, se considerará que la aprobó.
      
   2. Obligaciones del Subprocesador. El Proveedor deberá celebrar un acuerdo con cada Subprocesador antes del Procesamiento de la Información confidencial de Uber que imponga obligaciones que no sean menos restrictivas y que sean al menos igualmente protectoras de la Información confidencial de Uber que las impuestas al Proveedor en virtud de este Acuerdo. Uber puede solicitar una copia de dicho acuerdo y puede negar el consentimiento para el uso de dicho Subprocesador si el Proveedor no proporciona el acuerdo o si este no contiene suficiente protección de la Información confidencial de Uber. El Proveedor puede redactar dicho acuerdo antes de compartirlo con Uber en la medida necesaria para proteger sus secretos comerciales o información confidencial.
      
   3. Cumplimiento de las Leyes de protección de datos por parte del Subprocesador. El Proveedor es responsable de garantizar que los Subprocesadores cumplan con las Leyes de protección de datos aplicables en lo que respecta al Procesamiento de Datos personales de Uber por parte de los Subprocesadores.
      
   4. Responsabilidad. El uso de Subprocesadores por parte del Proveedor no afecta ni limita la responsabilidad del Proveedor en virtud de este Acuerdo.
8. Indemnización: A menos que se establezca lo contrario en el Acuerdo principal, la Empresa acepta indemnizar, defender y eximir de responsabilidad a Uber, sus directores, funcionarios, empleados y agentes de todas y cada una de las pérdidas, daños, tarifas y gastos que surjan de cualquier reclamo relacionado con la pérdida, alteración o uso indebido de los Datos personales de Uber por parte de la Empresa, el acceso no autorizado, la destrucción o la divulgación de los Datos personales de Uber, o la infracción de la Sección 4 de este APD por parte de la Empresa.
9. Restricción de transferencia de Datos personales sensibles masivos de EE. UU.
   1. Definiciones: A los efectos de esta Sección 2.8:
      1. los términos “Acceso”, “Masivo”, “Datos personales sensibles masivos de EE. UU.”, “País de interés”, “Transacción de datos cubiertos”, “Persona cubierta”, “Corretaje de datos”, “Datos relacionados con el Gobierno”, “Datos personales sensibles” y “Persona estadounidense” tendrán los significados atribuidos en la Norma sobre Datos Sensibles del Departamento de Justicia de los Estados Unidos, Título 28 del Código de Regulaciones Federales (CFR), parte 202.
         
      2. “Datos cubiertos” se referirá a “Datos personales sensibles masivos de EE. UU.” o “Datos relacionados con el Gobierno”.
         
      3. “Entidad cubierta” se refiere a cualquier “Persona cubierta” o “País de interés”.
   2. En caso de que el Proveedor tenga Acceso a los Datos cubiertos en relación con el Acuerdo principal, el Proveedor declara y garantiza lo siguiente:
      1. No es una Entidad cubierta.
         
      2. No participará en ninguna Transacción de datos cubiertos que involucre el Corretaje de dichos datos con una Entidad cubierta.
         
      3. A menos que Uber lo permita expresamente o lo permita el Título 28 del CFR, parte 202, (A) no permitirá que ninguna Entidad cubierta Acceda a dichos Datos cubiertos y (B) prohibirá que cualquier Subprocesador proporcione Acceso a los Datos cubiertos a cualquier Entidad cubierta.
         
      4. No eludirá ni intentará eludir ninguna estrategia de encriptación, enmascaramiento, desidentificación o mejora de la privacidad ni controles de seguridad implementados por Uber en relación con el Título 28 del CFR, parte 202.
         
      5. Proporcionará a Uber toda la información que razonablemente solicite en relación con el cumplimiento de la Sección 2.8 o del Título 28 del CFR, parte 202, incluso en relación con cualquier investigación realizada por Uber.
         

SECCIÓN 3: REQUISITOS: DATOS PERSONALES DE UBER

1. Función de las Partes: A menos que se establezca lo contrario en el Acuerdo principal, las Partes reconocen y aceptan que Uber es el Controlador de los Datos personales de Uber Procesados en relación con el Acuerdo principal^[1] y que el Proveedor es un Procesador o un Proveedor de servicios en relación con dicho procesamiento.
2. Requisitos generales: El Proveedor reconoce y acepta lo siguiente:
   1. Que comprende y cumplirá todos los requisitos en virtud de las Leyes de protección de datos aplicables en relación con el Procesamiento de Datos personales de Uber.
   2. Que notificará a Uber si determina que ya no puede cumplir con sus obligaciones en virtud de las Leyes de protección de datos aplicables, a menos que la ley exija lo contrario. Al recibir dicho aviso, Uber puede tomar las medidas razonables y adecuadas para detener el Procesamiento de los Datos personales de Uber por parte del Proveedor y reparar cualquier riesgo para los Titulares de los datos de Uber que resulte de dicho Procesamiento, y el Proveedor ayudará razonablemente a Uber en relación con dichas medidas (lo que incluye, según corresponda, el cese de dicho Procesamiento).
      
   3. Que no rentará, venderá, compartirá, divulgará, combinará con otros datos ni Procesará los Datos personales de Uber para ningún fin, excepto cuando sea necesario para cumplir con sus obligaciones en virtud del Acuerdo principal, a menos que las Partes acuerden lo contrario por escrito.
      
   4. Que no intentará volver a identificar a ningún Titular de los datos de Uber con los datos anonimizados proporcionados al Proveedor o recopilados por este.
      
   5. Que no permitirá que ningún empleado del Proveedor Procese Datos personales de Uber, excepto cuando dicho empleado haya aceptado mantener la confidencialidad de los Datos personales de Uber o cuando la ley exija que dichos empleados mantengan la confidencialidad de los Datos personales de Uber.
3. Requisitos del Procesador/Proveedor de servicios/Contratista: Si se designa al Proveedor como Procesador, Proveedor de servicios o Contratista en el Acuerdo principal, en relación con los Datos personales de Uber Procesados de acuerdo con esa designación, deberá hacer lo siguiente:
   
   1. Si se lo designa como Procesador o Proveedor de servicios, (a) solo procesar los Datos personales de Uber en tales capacidades de conformidad con las indicaciones escritas de Uber, excepto que la ley exija lo contrario; y (b) no copiar ni reproducir los Datos personales de Uber para sus propios fines o los de cualquier Subprocesador u otro tercero, incluso con el fin de capacitar, desarrollar o perfeccionar modelos de aprendizaje automático, sistemas de inteligencia artificial o tecnologías similares.
      
   2. Ayudar a Uber según sea razonable y apropiado, en el contexto del Procesamiento de Datos personales por parte del Proveedor, para lo siguiente:
      1. Cumplir con las obligaciones de Uber en virtud de los artículos 32 a 36 del RGPD, según corresponda, u obligaciones análogas en virtud de otras Leyes de protección de datos aplicables.
         
      2. Demostrar el cumplimiento de las Leyes de protección de datos aplicables, incluido, según corresponda, el artículo 28 del RGPD.
         
   3. Permitir que Uber tome medidas razonables y adecuadas para garantizar que el Proveedor use los Datos personales de Uber de manera coherente con sus obligaciones en virtud de las Leyes de protección de datos aplicables, y para detener y reparar el uso no autorizado de los Datos personales de Uber.
      
   4. A menos que la ley exija lo contrario, notificar de inmediato a Uber sobre cualquier solicitud de un Titular de los datos de Uber, o de un organismo gubernamental o regulador con autoridad sobre el Proveedor o sobre Uber, en relación con el Procesamiento de Datos personales de Uber por parte del Proveedor, y cooperar con Uber en relación con cualquier respuesta a dicha solicitud o demanda.
4. Requisitos del Controlador: si el Proveedor es designado como Controlador en el Acuerdo principal, reconoce y acepta lo siguiente:
   1. Es un Controlador independiente de los Datos personales de Uber en virtud de las Leyes de protección de datos.
      
   2. Determinará los fines y los medios del Procesamiento de los Datos personales de Uber.
      
   3. Es responsable de su propio cumplimiento de las Leyes de protección de datos aplicables, incluso en lo que se refiere a notificar a los Titulares de los datos sobre el Procesamiento de sus Datos personales y cómo pueden ejercer sus derechos, y obtener los consentimientos necesarios.
      
   4. Cumplirá con las obligaciones que le correspondan en virtud de las Leyes de protección de datos con respecto al Procesamiento de Datos personales de Uber.
5. Transferencias internacionales: Si el Procesamiento de Datos personales por parte del Proveedor implica la transferencia de Datos personales de los Titulares de los datos de Uber:
   1. Cumplirá con todas las Leyes de protección de datos aplicables a dichas transferencias.
      
   2. En la medida en que corresponda en función de la ubicación de los Titulares de los datos de Uber cuyos Datos personales se transferirán, se debe cumplir con los requisitos establecidos en el Anexo 2 de este Acuerdo.

SECCIÓN 4: OTRAS DISPOSICIONES

1. Fecha de entrada en vigor: Este Acuerdo entra en vigor a partir de la fecha de ejecución del Acuerdo principal.
2. Conclusión y vigencia: Sin perjuicio de cualquier disposición que exprese lo contrario en el Acuerdo principal, este Acuerdo y todas sus disposiciones permanecerán vigentes mientras y en la medida en que el Proveedor Procese o conserve la Información confidencial de Uber.
   
3. Incumplimiento. El Proveedor informará de inmediato a Uber si no puede cumplir con este Acuerdo. Si el Proveedor no puede cumplir dentro de un plazo razonable, o si el Proveedor infringe de manera sustancial o persistente este Acuerdo o sus obligaciones en virtud de este Acuerdo, Uber tendrá derecho a rescindir este Acuerdo y el Acuerdo principal en lo que respecta al procesamiento de la Información confidencial de Uber. Sin embargo, se estipula que cualquier infracción de la Sección 2.9 constituye un incumplimiento grave y que Uber tiene derecho a rescindir de inmediato el Acuerdo principal.
4. Cláusula ineficaz. Si las disposiciones individuales de este Acuerdo son o llegan a ser ineficaces, la efectividad de las disposiciones restantes no se verá afectada. Las Partes reemplazarán la cláusula ineficaz por una cláusula legalmente permitida, que logrará la intención comercial prevista en la mayor medida posible.
   
5. Conflictos. En caso de conflicto entre este Acuerdo (i) y el Acuerdo principal, prevalecerá este Acuerdo; y (b) un Acuerdo de socio comercial (“ASC”) de conformidad con la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA) entre Uber y el Proveedor, prevalecerá el ASC.
   
6. Ley y jurisdicción aplicables. La ley y la jurisdicción aplicables según lo establecido en el Acuerdo principal se aplican a este Acuerdo.

APÉNDICE 1
Medidas organizativas/administrativas, físicas y técnicas

1. Medidas de seguridad organizativas/administrativas: El Proveedor implementó lo siguiente, y lo mantendrá y actualizará según corresponda durante el Procesamiento de la Información confidencial de Uber (siempre que dichas actualizaciones no reduzcan ni degraden las medidas de protección utilizadas para proteger la Información confidencial de Uber):
   1. Un programa integral de seguridad de la información y de la red, que consta de reglamentos, prácticas y procedimientos que rigen los Servicios (en conjunto, el “Programa de seguridad de datos”) que (i) cumple con las mejores prácticas actuales; (ii) cumple con todas las Leyes de protección de datos aplicables; (iii) en la medida que corresponda, cumple con las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS); (iv) cumple o se alinea con las normas de seguridad ISO 27000, NIST 800-53, CIS top 20 o HITRUST; y (v) en la medida aplicable, cumple con la Norma sobre datos sensibles del Departamento de Justicia de los Estados Unidos, Título 28 del CFR, parte 202. El Proveedor pondrá a disposición de Uber la documentación de su Programa de seguridad de datos si así lo solicita.
   2. Un programa documentado de prevención de pérdida de datos diseñado para detectar, prevenir y mitigar el riesgo de Incidentes de seguridad de datos, que debe incluir, como mínimo, lo siguiente:
      1. reglamentos y controles técnicos apropiados diseñados para evitar la pérdida de Información confidencial de Uber; y
      2. un plan de recuperación ante desastres/continuidad del negocio que aborde el acceso, mantenimiento y almacenamiento continuo de la Información confidencial de Uber, así como las necesidades de seguridad para los sitios de respaldo y las redes de comunicación alternativas.
   3. Reglamentos y procedimientos para limitar el acceso a la Información confidencial de Uber a aquellas personas que lo requieran para desempeñar sus funciones y responsabilidades en relación con el Acuerdo principal.
   4. Procedimientos para verificar todos los derechos de acceso a través de métodos de autenticación efectivos.
   5. Un proceso para realizar evaluaciones de riesgos de seguridad de la información al menos una vez cada dos años de cualquier Procesador o Subprocesador del Proveedor con acceso a la Información confidencial de Uber. Dichos Procesadores/Subprocesadores deberán tener controles de seguridad de la información que no protejan menos la Información confidencial de Uber que los requisitos de este Acuerdo. Uber puede solicitar una copia de la evaluación de riesgos que el Proveedor realizó sobre cualquier Subprocesador y puede negar el consentimiento para el uso de dicho Subprocesador si la evaluación revela que el Subprocesador no tiene suficientes controles de seguridad de la información para proteger la Información confidencial de Uber.
   6. Un programa de concientización sobre seguridad para el personal del Proveedor, que incluye capacitación periódica sobre temas de seguridad de la información, como el manejo seguro de datos, protección de contraseñas y credenciales, ingeniería social y cómo identificar y reportar posibles incidentes de seguridad.
   7. Un programa de administración continua de vulnerabilidades que utiliza un proceso de calificación de riesgo estándar de la industria para priorizar la reparación de las vulnerabilidades descubiertas. Si se detecta una vulnerabilidad que podría afectar la confidencialidad, disponibilidad o integridad de la Información confidencial de Uber, si se solicita, el Proveedor deberá proporcionar pruebas suficientes para demostrar que la vulnerabilidad se reparó y permitir que Uber determine si se produjo un Incidente de seguridad de datos.
   8. Un programa seguro de administración de activos que aplica una referencia de seguridad estándar de la industria, incluida la clasificación de activos y el inventario de dispositivos o Sistemas donde se Procesa la Información confidencial de Uber.
   9. Procesos formales y escritos para detectar, identificar, reportar, responder, mitigar y reparar los Incidentes de seguridad de datos de manera oportuna, que incluirán procesos para que el personal del Proveedor, incluidos los administradores del Sistema, reporte eventos anómalos al equipo de manejo de incidentes y el Proveedor para notificar a personas y entidades afectadas, entidades reguladoras y otros miembros del público cuando sea necesario o requerido.
   10. Simulaciones de incidentes, como ejercicios teóricos o de equipo rojo que se planifican y llevan a cabo de manera rutinaria.
   11. Un programa establecido para las pruebas de penetración que incluya un alcance completo de ataques combinados, como ataques basados en usuarios y en apps web.
   12. Un programa de gobernanza y administración de riesgos para los servicios en la nube con el fin de que las configuraciones de seguridad y las protecciones de referencia estén habilitadas.
   13. Prácticas de codificación segura apropiadas para el lenguaje de programación en uso y capacitar a todo el personal en la escritura de código seguro.
   14. Un reglamento de acceso a datos de una agencia gubernamental que rechaza el acceso del Gobierno a los datos, excepto cuando dicho acceso lo exija la ley o cuando exista un riesgo inminente de daño grave a las personas.
   15. Reglamentos y procedimientos para evaluar la base legal y responder a las solicitudes de datos de las agencias gubernamentales.
   16. Capacitación específica del personal responsable de administrar las solicitudes de acceso a los datos de las agencias gubernamentales, que puede incluir requisitos en virtud de las Leyes de protección de datos aplicables.
   17. Procesos para documentar y registrar las solicitudes de datos de las agencias gubernamentales, la respuesta proporcionada y las autoridades gubernamentales involucradas.
   18. Procedimientos para notificar a Uber sobre cualquier solicitud o requisito de acceso de una agencia gubernamental a los datos, a menos que esté prohibido por ley.
2. Medidas de seguridad física
   1. El Proveedor implementó, mantendrá y actualizará, según corresponda, durante todo el Procesamiento de la Información confidencial de Uber, medidas de seguridad física adecuadas para cualquier instalación que se use para Procesar la Información confidencial de Uber. Además, monitoreará continuamente cualquier cambio en la infraestructura física, la empresa y las amenazas conocidas.
3. Medidas técnicas de seguridad: Durante el Procesamiento de la Información confidencial de Uber, el Proveedor deberá hacer lo siguiente:
   1. Realizar análisis y evaluaciones de vulnerabilidades en las apps y la infraestructura que se usan para Procesar la Información confidencial de Uber.
   2. Proteger sus redes informáticas mediante múltiples capas de controles de acceso, incluida la autenticación de múltiples factores, para proteger contra el acceso no autorizado.
   3. Restringir el acceso a través de mecanismos como, entre otros, aprobaciones de la administración, controles sólidos, registro y monitoreo de eventos de acceso y auditorías posteriores.
   4. Implementar y mantener registros de eventos en todos los Sistemas que Procesan Información confidencial de Uber que sean lo suficientemente detallados para permitir que el Proveedor determine si ocurrió un Incidente de seguridad de datos y las posibles consecuencias de dicho Incidente, lo que incluye, entre otras cosas, si se obtuvo, modificó o eliminó Información confidencial de Uber, o si se accedió a esta. Estos registros de eventos deben conservarse durante al menos trece (13) meses y ponerse a disposición de Uber si los solicita dentro de los siete (7) días calendario posteriores a la solicitud. Si los registros contienen información de eventos relacionados con otras entidades o usuarios, el Proveedor debe poder segregar los datos del registro de eventos de Uber cuando se le solicite.
   5. Identificar otros Sistemas informáticos y apps que garanticen el monitoreo y registro de eventos de seguridad, y mantener razonablemente los archivos de registro.
   6. Revisar y analizar los registros de eventos mediante procesos continuos y automatizados de monitoreo y alertas para detectar, responder e investigar eventos y actividades anómalos.
   7. Usar un software comercial de análisis de virus o malware actualizado y estándar de la industria que identifique el código malicioso en todos sus Sistemas que Procesan la Información confidencial de Uber.
   8. Hacer cumplir los límites de la red y las protecciones entre redes.
   9. Encriptar la Información confidencial de Uber en tránsito.
   10. Encriptar la Información confidencial de Uber en reposo y administrar y proteger únicamente todas las claves de encriptación (es decir, ningún otro tercero tendrá acceso a estas claves de encriptación, incluidos los Procesadores o Subprocesadores).

APÉNDICE 2
Transferencias internacionales

A menos que las partes acuerden lo contrario, este Apéndice 2 define los mecanismos que las Partes usarán para permitir las transferencias internacionales de Datos personales cuando así lo exijan las Leyes de protección de datos. Específicamente, en la medida en que los Servicios requieran la transferencia de Datos personales de los Titulares de los datos de Uber en los siguientes países, y las Partes acuerden lo siguiente:

1. EEE o Suiza. Si los servicios del Proveedor implican la transferencia de Datos personales de los Titulares de los datos de Uber en el EEE o Suiza a un país o territorio fuera de esas regiones que la Comisión Europea no haya reconocido como proveedor de un nivel adecuado de protección de datos, las Partes se incorporarán a este Acuerdo y aceptan cumplir con las Cláusulas contractuales estándar del 4 de junio de 2021 (“CCE”) aprobadas por la Comisión Europea, a menos que las partes acuerden lo contrario en este Acuerdo. Si las CCE se incorporan de esta manera:
   1. El Módulo 1 (Controlador a Controlador) se aplicará si el Proveedor es designado como Controlador.
   2. El Módulo 2 (Controlador a Procesador) se aplicará si el Proveedor es designado como Procesador.
   3. La cláusula de Adhesión opcional (Cláusula 7) no se aplicará.
   4. No se aplicará el lenguaje opcional contenido en la Cláusula 11 (Reparación).
   5. La ley aplicable a los efectos de la Cláusula 17 (Ley aplicable) será la ley de los Países Bajos.
   6. Los tribunales en virtud de la Cláusula 18 (Elección de foro y jurisdicción) serán los tribunales de los Países Bajos, a menos que las partes acuerden lo contrario en el Acuerdo principal:
   7. La autoridad de supervisión competente a los efectos de la Cláusula 13 (Supervisión) de las CCE es la Autoridad de Protección de Datos de los Países Bajos (Autoriteit Persoonsgegevens), a menos que las partes acuerden lo contrario en el Acuerdo principal.
   8. Las Partes declaran que no creen que las leyes ni las prácticas de ningún país al que se transfieran los Datos personales de Uber para los fines del Acuerdo principal impidan que el Proveedor cumpla con sus obligaciones en virtud de las CCE.
   9. En lugar del Anexo 1 de las CCE, las Partes acuerdan lo siguiente:
      1. La identidad y los datos de contacto de Uber, como exportador de datos, y del Proveedor, como importador de datos, son los especificados en el Acuerdo principal y en este Acuerdo.
         
      2. La naturaleza y los fines del procesamiento son para los Servicios o según se especifica en el Acuerdo principal o en este Acuerdo.
      3. El Proveedor conservará los Datos personales de Uber transferidos según se especifica en el Acuerdo principal o en el presente Acuerdo.
      4. Las categorías de Titulares de los datos de Uber y de los Datos personales de Uber transferidos son aquellas documentadas en la Evaluación de riesgos realizada antes del Procesamiento de los Datos personales de Uber.
      5. En lugar del Anexo 2 de las CCE, las Partes acuerdan cumplir con el Apéndice 1 de este Acuerdo.
      6. En lugar del Anexo 3 de las CCE (si corresponde), las Partes aceptan que los Subprocesadores autorizados de los Datos personales de Uber son aquellos identificados en la Evaluación de riesgos realizada antes del Procesamiento de los Datos personales de Uber, o según se especifique en este Acuerdo o el Acuerdo principal.
2. Reino Unido: Si los servicios del Proveedor implican transferencias de Datos personales de los Titulares de los datos de Uber en el Reino Unido a una jurisdicción que no proporciona un nivel adecuado de protección de datos, se aplicarán las CCE sujetas a los Términos del “Apéndice del Reino Unido de las Cláusulas contractuales estándar de la UE” emitido por la Oficina del Comisionado de Información en virtud de la sección 119A de la Ley de Protección de Datos del Reino Unido de 2018 (“Anexo del Reino Unido”). Dicho Anexo del Reino Unido se considerará firmado entre el Proveedor y Uber, sujeto a la Sección 3.5(b) de este Acuerdo, según corresponda.
3. Brasil: Si el Procesamiento de Datos personales por parte del Proveedor implica la transferencia internacional de Datos personales de Uber de los Titulares de los datos de Uber en Brasil, ya sea entre las Partes o a terceros, el Proveedor deberá garantizar el cumplimiento de todas las Leyes de protección de datos aplicables, incluida la adopción de los mecanismos legales correspondientes, como Cláusulas contractuales estándar u otros instrumentos legalmente requeridos, y garantizará que el Procesamiento proporcione, como mínimo, el mismo nivel de protección y seguridad para los Datos personales que se establece en este Acuerdo.
   1. Transferencias internacionales entre las Partes de Datos personales de los Titulares de los datos de Uber en Brasil. Si el Procesamiento de Datos personales implica la transferencia internacional entre las Partes de Datos personales de Uber de los Titulares de los datos de Uber en Brasil a un país o territorio que no haya sido reconocido por la autoridad competente como proveedor de un nivel adecuado de protección de datos, las Partes incorporan, como se establece en su totalidad en el presente, y aceptan cumplir con las Cláusulas contractuales estándar de Brasil contenidas en el Anexo II de la Resolución n.º 19 de 2024 emitida por la Autoridad de Protección de Datos de Brasil (“las CCE de Brasil”), disponibles en el siguiente sitio: Cláusulas contractuales estándar de Brasil. En tales casos:
      1. A los efectos de cualquier transferencia internacional de Datos personales, Uber o cualquiera de sus Filiales se considerarán el Agente de procesamiento de datos.
      2. Las tablas informativas contenidas en la Cláusula 1.1 de las CCE de Brasil se reemplazarán con la calificación y la información de contacto de Uber y del Proveedor, como se establece en el Acuerdo principal, el presente Acuerdo y el Aviso de privacidad de cada Parte.
      3. A los efectos de las casillas de verificación establecidas en la Cláusula 1.1 de las CCE de Brasil, con respecto a las funciones de las Partes, la casilla de verificación “Exportador/Controlador” se considerará seleccionada para Uber. Para el Proveedor, se considerará seleccionada la casilla de verificación “Importador” que corresponda a la clasificación del Proveedor en virtud de la Cláusula 3.1 del presente Acuerdo (“Función de las Partes”) o según se establece en el Acuerdo principal.
      4. Las Partes acuerdan que (i) el propósito principal de la transferencia internacional de los Datos personales de Uber es la prestación de los servicios según se especifica en el Acuerdo principal o en el presente Acuerdo; (ii) los Datos personales de Uber transferidos se conservarán como se especifica en el Acuerdo principal o en este Acuerdo, de conformidad con la Ley de protección de datos aplicable y el Aviso de privacidad de cada Parte; y (iii) las categorías de Titulares de los datos de Uber y los respectivos Datos personales de Uber transferidos son los documentados en la Evaluación de riesgos realizada antes del Procesamiento de dichos Datos personales. Esta información reemplaza la tabla de descripción de transferencia de datos que figura en la Cláusula 2.1 de las CCE de Brasil.
      5. A los efectos de la Cláusula 3.1 de las CCE de Brasil, que trata las Transferencias posteriores, las Partes acuerdan que la Opción A se aplicará en los casos en que ambas actúen como Controladores. Cuando el Proveedor actúe como Procesador, se aplicará la Opción B, y la tabla descriptiva establecida en la Cláusula 3.1 se reemplazará por la Evaluación de riesgos realizada antes del Procesamiento de los Datos personales de Uber por parte del Proveedor o como se establece en el Acuerdo principal.
      6. A los efectos de la Cláusula 4.1 de las CCE de Brasil, que trata las Responsabilidades de las Partes, las Partes acuerdan que se aplicará la Opción A y que tanto el Exportador como el Importador son responsables de cumplir con las obligaciones establecidas en los incisos “a”, “b” y “c”, en las que ambas Partes actúan como Controladores. Cuando el Proveedor actúe como Procesador, dichas obligaciones serán responsabilidad exclusiva de Uber.
      7. La tabla contenida en la Sección III de las CCE de Brasil se reemplaza por el Apéndice 1 de este Acuerdo.
   2. Arabia Saudita. Si el Procesamiento de Datos personales por parte del Proveedor implica la transferencia de Datos personales de Uber de los Titulares de los datos de Uber en Arabia Saudita a un país o territorio que no haya sido reconocido por la autoridad competente como proveedor de un nivel adecuado de protección de datos, las Partes incorporan y aceptan cumplir con las Cláusulas contractuales estándar para la transferencia de Datos personales, versión 1.0 de septiembre de 2024 (“CCE de RAS”), aprobadas por la Autoridad de Datos e IA de Arabia Saudita (SDAIA), a menos que las partes acuerden lo contrario en este Acuerdo. Si las CCE se incorporan de esta manera:
      1. Plantilla 1: (Controlador a Controlador) se aplicará si el Proveedor es designado como Controlador.
      2. Plantilla 2: (Controlador a Procesador) se aplicará si el Proveedor es designado como Procesador.
      3. La ley aplicable a los efectos de la Cláusula 8 (Ley aplicable y jurisdicción) será la ley del Reino de Arabia Saudita. Cualquier disputa que surja de la aplicación de las disposiciones de estas Cláusulas entrará bajo la jurisdicción del Reino y será competencia de sus tribunales.
      4. La autoridad competente a los efectos de la Cláusula 9 (Cumplimiento de las solicitudes de la autoridad competente) es la Autoridad de Datos e IA de Arabia Saudita (SDAIA).
      5. Las Partes declaran que no creen que las leyes ni las prácticas de ningún país al que se transfieran los Datos personales de Uber para los fines del Acuerdo principal impidan que el Proveedor, “el Importador de Datos personales”, cumpla con sus obligaciones en virtud de las CCE del RAS.
      6. A los efectos del Anexo 1, la información de las Partes es la establecida en este Acuerdo y en el Acuerdo principal. Uber se designa como el Exportador y Controlador de los Datos personales de los Titulares de los datos de Uber, mientras que el Proveedor se designa como el Importador de Datos personales de los Titulares de los datos de Uber, y desempeñan la función especificada en la Cláusula 3.1, “Función de las Partes”, de este Acuerdo.
      7. A los efectos del Anexo 2, las Partes acuerdan lo siguiente:
         1. Las categorías de Titulares de los datos de Uber y de los Datos personales de Uber transferidos son aquellas documentadas en la Evaluación de riesgos realizada antes del Procesamiento de los Datos personales de Uber.
         2. Los fines de la transferencia son para los Servicios o los que se especifican en el Acuerdo principal o este Acuerdo.
         3. El Proveedor conservará los Datos personales de Uber transferidos según se especifica en el Acuerdo principal o en el presente Acuerdo.
         4. En lugar del Anexo 3 de las CCE del RAS, las Partes acuerdan cumplir con el Apéndice 1 de este Acuerdo.

1. Consulte el Aviso de privacidad de Uber para conocer los controladores de la Información confidencial de Uber en su región. Cuando una entidad que no sea el controlador designado celebra este Acuerdo en nombre de Uber, está autorizada para hacerlo por los controladores de datos correspondientes. Uber se reserva el derecho de designar a otra filial de Uber como Controlador de datos a los efectos de este Acuerdo. ↑