Acuerdo sobre el Tratamiento de Datos (para clientes sujetos a las leyes europeas de protección de datos, incluyendo Suiza y Reino Unido, y/o a las Leyes de Protección de datos de Australia y de África del Sur)

Este Acuerdo sobre el Tratamiento de Datos (“ATD”) forma parte del Acuerdo Marco (según se define en las Condiciones de Producto) entre el cliente, la agencia o el distribuidor (el “Cliente” o “usted”) y la empresa de Yext indicada en el mismo (“Yext”), con el fin de reflejar el acuerdo de las partes respecto al Tratamiento de Datos Personales (según estos términos se definen en el presente ATD). Los términos en mayúscula utilizados en este ATD que no estén definidos tienen el significado que a los mismos se les otorga en el Acuerdo Marco o en las Condiciones de Producto que encontrará aquí. En la medida en que exista algún conflicto entre los términos de este ATD, el Acuerdo Marco o las Condiciones de Producto, prevalecerán las disposiciones de los siguientes documentos (por orden de precedencia), a menos que se acuerde expresamente otra cosa: (a) este ATD, (b) el Acuerdo Marco, y (c) las Condiciones de Producto.

En el presente ATD, los siguientes términos tendrán los siguientes significados:

Filial” significa una entidad que (i) controla, (ii) está controlada, o (iii) está bajo control común con Yext. Se considerará que una entidad controla a otra entidad si tiene el poder de dirigir o influir en la administración o en las políticas de dicha entidad, ya sea a través de su propiedad o por poseer valores con derecho a voto, por contrato o de cualquier otra forma.

Ley de Privacidad de Datos” significa la Directiva 2002/58/CE, el RGPD, y cualquier legislación y/o regulación que se aplique o que se adopte de conformidad con ellos, o que les modifique, derogue, complemente, vuelva a promulgar o consolide, así como la Ley de Protección de Datos de 2018 del Reino Unido y la Ley 4 de 2013 sobre la Protección de las Informaciones Personales (“POPIA”) de África del Sur, y todas las demás leyes aplicables relacionadas con el Tratamiento de Datos Personales y la privacidad que puedan existir en la correspondiente jurisdicción.

País Tercero” significa cualquier (i) país además de los del Espacio Económico Europeo (EEE), (ii) Suiza y (iii) países, territorios o sectores especificados que se consideren adecuados en virtud de la Ley de Privacidad de Datos aplicable.

RGPD” significa, en cada caso en la medida en que sea aplicable a las actividades de Tratamiento: (i) el Reglamento (UE) 2016/679; y (ii) el Reglamento (UE) 2016/679 en su forma enmendada por cualquier legislación derivada de la retirada del Reino Unido de la Unión Europea;

Datos Personales” tiene el significado asignado a los términos “datos personales” o “información personal” en virtud de la Ley de Privacidad de Datos aplicable.

Categorías especiales de Datos Personales” tiene el significado asignado a los términos “categorías especiales de datos personales”, “datos sensibles” o “información sensible” bajo la Ley de Privacidad de Datos aplicable.

Autoridad de Control” significa la autoridad de protección de datos competente en el territorio en el que está establecido el Cliente.

Los términos “Responsable del Tratamiento”, “Interesados”, “Tratamiento” (y “Tratar” se interpretará en consecuencia), “Violación de la Seguridad de los Datos Personales” y “Encargado del Tratamiento” tendrán el significado que se les otorga en la Ley de Privacidad de Datos aplicable.

  1. Usted acepta que es un Responsable del Tratamiento en relación con los Datos Personales de sus clientes, empleados y visitantes del sitio web (o en el caso de agencia o distribuidor, sus clientes serán considerados como los Responsables del Tratamiento de los Datos Personales de sus clientes finales, empleados y visitantes del sitio web) que Yext (o la agencia o distribuidor) reciba o genere durante la provisión de Productos (“Datos Personales de Clientes”). Usted acepta que los Datos Personales de Clientes proporcionados a Yext en relación con los Productos serán Tratados ​​por usted de acuerdo con la Ley de Protección de datos aplicable. Yext no es responsable de la precisión, calidad y legalidad de los Datos Personales de Clientes proporcionados a Yext y de los medios por los cuales dichos Datos Personales de Clientes fueron adquiridos antes de ser proporcionados a Yext.
  2. Usted reconoce que Yext (o en el caso de agencia o distribuidor, la agencia o el distribuidor, según corresponda) necesita ciertos Datos Personales para crear y gestionar la cuenta del Cliente y la relación con el Cliente. Yext (o la agencia o distribuidor, según corresponda) Tratará dichos Datos Personales en calidad de Responsable del Tratamiento.
  3. Al Tratar Datos Personales de Clientes en el contexto de la provisión de Listings, Reviews u otros Productos como Events, Answers, Knowledge Tags y Pages (incluso con respecto a las cookies o las tecnologías de seguimiento que forman parte de la funcionalidad del Producto para fines analíticos, como Conversion Tracking), Yext actuará como Encargado del Tratamiento (o en caso de agencia o distribuidor, la agencia o el distribuidor serán los Encargados del Tratamiento y Yext será el Subencargado del Tratamiento).
  4. Cuando Yext sea un Encargado (o Subencargado) del Tratamiento, las disposiciones establecidas en las cláusulas 5 a 15 siguientes serán aplicables en relación con el Tratamiento de Datos Personales de Clientes. Usted y Yext acuerdan que, además de las cláusulas 5 a 15, usted e Yext cumplirán con cualquier disposición adicional específica de un país en la medida en que la Ley de Privacidad de Datos de un país especificado en el Anexo 3 se aplique al Tratamiento de Datos Personales de Clientes.
  5. Yext solo Tratará los Datos Personales de Clientes de acuerdo con las instrucciones escritas conforme a lo establecido en el presente ATD y en el Acuerdo Marco (incluidas las Condiciones de Producto), incluso con respecto a las transferencias de Datos Personales de Clientes a Países Terceros, y no Tratará Datos Personales de Clientes para ningún otro fin salvo que así lo exija la ley, en cuyo caso, cuando esté legalmente permitido, Yext le informará de dicha exigencia legal antes de realizar cualquier Tratamiento. Si usted es una agencia o un distribuidor, se asegurará de que los acuerdos con sus clientes contienen las disposiciones apropiadas que le permitan Tratar los Datos Personales de Clientes y garantizará que han proporcionado el consentimiento necesario para que pueda subcontratar con Yext y otros Subencargados del Tratamiento el Tratamiento de los Datos Personales de Clientes bajo condiciones sustancialmente similares o equivalentes a las recogidas en el presente ATD.
  6. El objeto del Tratamiento de datos es la provisión de los Productos, y el Tratamiento se llevará a cabo hasta la fecha en que Yext deje de proporcionarle los Productos. Sus obligaciones y derechos se establecen en el Acuerdo Marco. El Anexo 1 de este ATD establece la naturaleza y el propósito del Tratamiento, los tipos de Tratamiento de Datos Personales de Yext y las categorías de Interesados cuyos Datos Personales se traten.
  7. Yext implementará medidas de seguridad técnicas y organizativas adecuadas (incluida la garantía de que el personal de Yext autorizado para Tratar los Datos Personales de Clientes se haya comprometido a cumplir las obligaciones de confidencialidad pertinentes) para garantizar un nivel de seguridad adecuado a los riesgos que se plantean en el Tratamiento de los Datos Personales de Clientes, incluidas aquellas medidas contempladas en la Ley de Privacidad de Datos aplicable. Los detalles de estas medidas figuran en el Anexo 2.
  8. En caso de que tenga lugar una Violación de la Seguridad de los Datos Personales que pueda afectar a los Datos Personales de Clientes, Yext notificará al Responsable del Tratamiento pertinente (a la dirección de correo electrónico que tengamos en nuestros registros) (o en el caso de distribuidor o agencia, se notificará a dicho distribuidor o agencia) sin demora alguna tras tener conocimiento de dicha Violación.
  9. Yext proporcionará toda la información y asistencia razonablemente necesarias (y dentro de los plazos razonables especificados) para permitir que el Responsable del Tratamiento cumpla con sus obligaciones en virtud de la Ley de Privacidad de Datos aplicable, incluida la asistencia para: (i) cumplir con las obligaciones de seguridad del Responsable del Tratamiento, (ii) cumplir con las obligaciones de responder a solicitudes de ejercicio de derechos por parte de Interesados, y (iii) llevar a cabo cualquier evaluación de impacto de la protección de datos y revisar cualquier operación de Tratamiento para garantizar que se realizan de conformidad con la evaluación de impacto de protección de datos, y consultar a la Autoridad de Control pertinente (cuando proceda). La asistencia de Yext de conformidad con esta disposición se proporcionará a expensas del Responsable del Tratamiento. El Responsable del Tratamiento puede solicitar esa asistencia enviando un correo electrónico a privacy@yext.com. Yext notificará al Responsable del Tratamiento sobre cualquier solicitud recibida directamente de los Interesados.
  10. Yext auditará la seguridad de los ordenadores y el entorno informático que utilice para el Tratamiento de los Datos Personales de Clientes. Esta auditoría: (a) se realizará al menos una vez al año; (b) puede ser realizada por profesionales de seguridad independientes externos, a la discreción y expensas de Yext; (c) se realizará según el estándar SOC2; y (d) dará lugar a la generación de un informe de auditoría (“Informe”), que constituirá Información Confidencial de Yext. Previa solicitud por escrito, Yext le proporcionará a usted una copia confidencial del Informe para que pueda verificar de forma razonable el cumplimiento por parte de Yext de las obligaciones de seguridad establecidas en este ATD.
  11. Si desea cambiar esta instrucción con respecto al ejercicio del derecho a una auditoría o a la facilitación de información para demostrar el cumplimiento del artículo 28 del RGPD, tendrá (a sus expensas) el derecho a cambiar esta instrucción, lo cual deberá solicitar por escrito, sin perjuicio de que Yext no tiene obligación de proporcionar Información Confidencial.
  12. Yext notificará inmediatamente al Responsable del Tratamiento (o en el caso de distribuidor o agencia, notificará al distribuidor o a la agencia) si, en su opinión, una instrucción suya en virtud de la cláusula 11 incumple cualquier Ley de Privacidad de Datos aplicable, y Yext tendrá derecho, pero no estará obligado a, suspender la ejecución de las instrucciones en cuestión hasta que dichas instrucciones se confirmen por escrito.
  13. Tras la resolución del Acuerdo Marco, Yext, a petición escrita suya, eliminará o devolverá todos los Datos Personales de Clientes, a menos que la ley disponga lo contrario.
  14. Usted reconoce y acepta que Yext pueda contratar a las Filiales y a otros terceros apropiados como Subencargados (conjuntamente, los “Subencargados del Tratamiento”) para el Tratamiento de los Datos Personales de Clientes, siempre y cuando se haya impuesto, mediante un acuerdo escrito, a dichos Subencargados del Tratamiento, obligaciones de protección de datos que no supongan una protección menor a la derivada de las obligaciones que se imponen a Yext en virtud del presente ATD. Yext será responsable frente a usted del cumplimiento de dichas obligaciones por parte de los Subencargados del Tratamiento. Puede encontrar una lista de los Subencargados del Tratamiento en https://www.yext.com/terms/subprocesadores/, así como el mecanismo al que usted acuerda suscribirse para recibir notificaciones previas de nuevos Subencargados del Tratamiento. Puede oponerse al uso por parte de Yext de un nuevo Subencargado notificándolo por escrito en un plazo de diez (10) días tras la recepción de una notificación de acuerdo con el mecanismo referido en la frase anterior. Para que sean legítimas, las objeciones deben contener y estar basadas en motivos razonables y documentados relacionados con el incumplimiento por un Subencargado del Tratamiento de la Ley de Privacidad de Datos aplicable. Si, en opinión razonable de Yext, dichas objeciones son legítimas, se abstendrá de utilizar dicho Subencargado en el contexto del Tratamiento de Datos Personales de Clientes. En tales casos, Yext hará todo lo posible por (i) poner a su disposición un cambio en los Productos de Yext, o (ii) recomendar un cambio en su configuración o uso de los Productos para evitar el Tratamiento de los Datos Personales de Clientes por parte del Subencargado del Tratamiento frente al que se haya manifestado su oposición. Si Yext no puede poner a su disposición dicho cambio dentro de un plazo razonable, usted podrá, mediante notificación por escrito dirigida a Yext, resolver mediante notificación por escrito los Productos que Yext no pueda proporcionar sin el uso del Subencargado del Tratamiento de datos en cuestión. Yext le reembolsará cualquier tarifa prepagada por el resto de la duración de dichos Productos tras la fecha de efectos de la resolución con respecto al Producto cuya contratación haya sido resuelta.
  15. Usted reconoce que, como parte de los Productos, los Datos Personales de Clientes se almacenarán en o se tendrá acceso a los mismos desde el Reino Unido o cualquier otro País Tercero donde los Subencargados del Tratamiento de Yext tengan sus instalaciones. Mientras que las transferencias al Reino Unido están cubiertas por la decisión de adecuación de la Comisión de la UE de 28 de junio de 2021 a favor del Reino Unido, Yext garantizará una protección adecuada para cualquier transferencia posterior a un Subencargado del Tratamiento en cualquier País Tercero (por ejemplo, Yext, Inc.) de acuerdo con la Ley de Privacidad de Datos aplicable.

 

ANEXO 1

INFORMACIÓN SOBRE EL TRATAMIENTO DE DATOS

Los Productos de Yext ayudan a las empresas a gestionar su información digital pública.

 Interesados

Los Datos Personales de Clientes transferidos se refieren a las siguientes categorías de Interesados:

Si el Cliente utiliza Listings (parte de los Productos Listings o de los paquetes Starter, Professional y Ultimate) y decide proporcionar dicha información en Listings, los empleados de Clientes.

Si el Cliente se suscribe a Review Monitoring (parte de los Productos Review o de los paquetes Professional y Ultimate), las personas que escribieron opiniones en línea en los correspondientes Sitios de Editores.

Si el Cliente utiliza Review Generation (parte de los productos Review o del paquete Ultimate), las personas que envían opiniones al Cliente.

Si el Cliente utiliza Pages, los visitantes de las páginas web del Cliente que se basen en Pages.

Si el Cliente se suscribe a Knowledge Tags, los visitantes de las páginas web del Cliente que utilicen Knowledge Tags.

Si el Cliente se suscribe a Answers, los visitantes de las páginas web del Cliente que utilicen Answers.

Si el Cliente decide utilizar Conversion Tracking, lo que el Cliente hace de forma voluntaria, los visitantes del sitio web que consultan el contenido de Listing y/o Events en los correspondientes Sitios de Editores.

Si el Cliente decide usar Conversion Tracking, lo que el Cliente hace de forma voluntaria, los visitantes del sitio web que consultan Pages, Knowledge Tags y/o Answers.

Categorías de datos

 Los Datos Personales de Clientes transferidos conciernen las siguientes categorías de datos:

 

 

 

 

 

 

 

Producto

 Tipos de Datos Personales Tratados por Yext en nombre del Cliente
Nombre, datos de contacto, biografía y/o título de los empleados del Cliente Nombre o alias de una persona que envia una reseña en línea en el Sitio del Editor aplicable y el contenido de dicha reseña Nombre y correo electrónico o número de móvil de una persona que envia una reseña al Cliente y el contenido de dicha reseña Información técnica relativa al visitante del sitio web, como la dirección IP* Información de uso sobre la visita al sitio web  (URL de referencia, el contenido visto y el contenido con el que se interactuó)
Listings/Events Sí, pero sólo si los proporciona el Cliente        
Review Monitoring        
Review Generation        
Pages**       Sí**
Knowledge Tags**       Sí**
Answers***       Sí***
Conversion Tracking****        

 

*La dirección IP no se pone a disposición de los usuarios del Cliente.

**Pages y Knowledge Tags pueden desplegarse con un píxel cuyo propósito es proporcionar análisis agregados al Cliente.

***Answers puede desplegarse con una cookie de sesión cuyo propósito es proporcionar análisis agregados al Cliente. Answers también puede desplegarse con una funcionalidad opcional de preguntas y respuestas que permita que un visitante pueda enviar su nombre y su correo electrónico para que el Cliente se ponga en contacto con él.

****Conversion Tracking es una funcionalidad opcional dentro del contenido de Listings o Events en los Sitios de Editores o dentro de Pages, Knowledge Tags o Answers, que proporciona información agregada sobre si los visitantes de los dispositivos implementados por Yext van a visitar otros sitios web especificados por el Cliente. Incluye una cookie persistente cuyo propósito es proporcionar análisis agregados al Cliente.

 

Categorías especiales de Datos Personales

Los Datos Personales de Clientes transferidos se refieren a las siguientes Categorías especiales de Datos Personales:

Ninguna;

Yext no recoge ni Trata de forma intencionada ninguna Categoría especial de Datos Personales en la provisión de sus Productos y servicios. El Cliente se compromete a no proporcionar Categorías especiales de Datos Personales a Yext en ningún momento.

Operaciones de Tratamiento

 Los Datos Personales de Clientes transferidos estarán sujetos a las siguientes actividades básicas de Tratamiento:

Recogida, divulgación mediante transmisión y difusión, alojamiento, mantenimiento, organización, almacenamiento y soporte.

 

ANEXO 2

MEDIDAS TÉCNICAS Y ORGANIZATIVAS

  1. Control de acceso a las zonas de Tratamiento

Yext aplica medidas adecuadas para impedir que personas no autorizadas accedan al equipo de Tratamiento de datos utilizado para Tratar los Datos Personales de Clientes. Esto se logra, en particular, mediante:

  • Sistema de control de acceso
  • Acceso a la tarjeta
  • Emisión de llaves
  • Cierre de puertas
  • Instalaciones de vigilancia – Monitor CCTV
  • Sistema de alarma
  • La presencia de guardias de seguridad, durante las horas de trabajo y horas extras para ciertas instalaciones
  1. Control de acceso a los sistemas de Tratamiento de datos

Yext aplica medidas adecuadas para impedir que sus sistemas de Tratamiento de datos sean utilizados por personas no autorizadas. Esto se logra, en particular, mediante:

  • Procedimientos relativos a la contraseña (incluida su longitud mínima, cambio de contraseña)
  • El acceso a los sistemas informáticos está sujeto a la aprobación de la dirección de recursos humanos y los administradores de los sistemas informáticos
  • La revisión de los controles de acceso para asegurar que se alteren los permisos para los que se mueven y los que se van
  1. Control de acceso para utilizar áreas específicas de los sistemas de Tratamiento de datos

Yext garantiza que las personas autorizadas a utilizar sus sistemas de Tratamiento de datos sólo podrán acceder a los Datos Personales de Clientes dentro del ámbito y en la medida en que lo permita su respectivo permiso de acceso (autorización) y que los Datos Personales de Clientes no podrán ser leídos, copiados, modificados o eliminados sin autorización. Esto se logra, en particular, mediante:

  • Derechos de acceso diferenciados
  • Derechos de acceso definidos según responsabilidades
  • Registro automático del acceso de los usuarios a determinados sistemas informáticos
  1. Control de la transmisión

Yext aplica medidas adecuadas para impedir que los Datos Personales de Clientes sean leídos, copiados, modificados o suprimidos por personas no autorizadas durante su transmisión o durante el transporte de los soportes de datos, y para garantizar que sea posible comprobar y establecer a qué organismos está prevista la transferencia de los Datos Personales de Clientes mediante los mecanismos de transmisión de datos. Esto se lleva a cabo, en particular, mediante:

  • La utilización de una red privada de propiedad exclusiva para todas las transferencias de datos dentro de Yext
  • Encriptación usando una VPN para el acceso remoto, el transporte y la comunicación de datos
  • Prohibición de los USB y CD Rom no encriptados
  1. Control según instrucción

Yext garantiza que los Datos Personales de Clientes sólo podrán ser procesados de acuerdo con las instrucciones documentadas que se establecen en este ATD y en el Acuerdo Marco (incluyendo las Condiciones de Producto). Esto se lleva a cabo mediante:

  • La redacción inequívoca de instrucciones contractuales
  1. Control de la disponibilidad

Yext aplica medidas adecuadas para garantizar que los Datos Personales de Clientes estén protegidos contra la destrucción o la pérdida accidental. Esto se logra, en particular, mediante:

  • Procedimientos de copia de seguridad
  • Sistema de alimentación ininterrumpida (SAI o UPS – Uninterruptible power supply)
  • Almacenamiento remoto
  • Sistemas antivirus y cortafuegos
  1. Separación del Tratamiento para fines diferentes

Yext aplica medidas adecuadas para garantizar que los Datos Personales de Clientes que se destinan a diferentes fines puedan ser Tratados por separado. Esto se lleva a cabo, en particular, mediante:

  • Segregación de los sistemas informáticos de la empresa
  • Segregación de los entornos de pruebas y de producción

 

ANEXO 3

TÉRMINOS ESPECÍFICOS PARA CIERTOS PAÍSES

AUSTRALIA

Yext cumplirá, con respecto a los Datos Personales de Clientes que Trate, los Principios de Privacidad Australianos (Australian Privacy Principles – APPs) (excepto el APP 1) establecidos en el Anexo 1 de la Ley de Privacidad de 1988 (Cth) (“Privacy Act”).

Si Yext notifica al Responsable del Tratamiento (o revendedor o agencia) de conformidad con la cláusula 8, Yext proporcionará a partir de entonces la asistencia e información al Responsable del Tratamiento, revendedor o agencia correspondiente que pueda ser razonablemente requerida por dicho Responsable del Tratamiento, revendedor o agencia para cumplir con sus obligaciones en virtud de la Parte IIIC de la Privacy Act.

Cuando proceda, usted se asegurará de contar con los consentimientos apropiados para permitirle solicitar a Yext que Trate los Datos Personales de Clientes de conformidad con la Ley de Spam de 2003.