Acuerdo sobre el Tratamiento de Datos (para clientes sujetos a las leyes europeas de protección de datos, incluyendo Suiza y Reino Unido)

Este Acuerdo sobre el Tratamiento de Datos (“ATD”) forma parte del Acuerdo Marco (según se define en las Condiciones de Producto) entre el cliente, la agencia o el distribuidor (el “Cliente” o “usted”) y la empresa de Yext indicada en el mismo (“Yext”), con el fin de reflejar el acuerdo de las partes respecto al tratamiento de Datos Personales (según este término se define en el presente ATD). Los términos en mayúscula utilizados en este ATD que no estén definidos tienen el significado que a los mismos se les otorga en el Acuerdo Marco o en las Condiciones de Producto que encontrará aquí. En la medida en que exista algún conflicto entre los términos de este ATD, el Acuerdo Marco, las Condiciones de Producto o las Cláusulas Tipo, prevalecerán las disposiciones de los siguientes documentos (por orden de precedencia) a menos que se acuerde expresamente otra cosa: (a) las Cláusulas Tipo, (b) este ATD, (c) el Acuerdo Marco y (d) las Condiciones de Producto.

En el presente ATD, los siguientes términos tendrán los siguientes significados:

Filial” significa una entidad que (i) controla, (ii) está controlada o (iii) está bajo control común con Yext. Se considerará que una entidad controla a otra entidad si tiene el poder de dirigir o influir en la administración o en las políticas de dicha entidad, ya sea a través de su propiedad o por poseer valores con derecho a voto, por contrato o de cualquier otra forma.

Ley de Privacidad de Datos” significa la Directiva 2002/58/CE, el Reglamento General de Protección de Datos 2016/679 (“RGPD”) y cualquier legislación y/o regulación que implemente o que se promulgue de conformidad con, o que modifique, derogue, complemente, actualice o refunda las leyes aplicables relacionadas con el tratamiento y la privacidad de Datos Personales que puedan existir en la correspondiente jurisdicción

Cláusulas Tipo” se refiere a las cláusulas contractuales tipo para la transferencia de datos personales a encargados del tratamiento establecidos en terceros países según se establece en la Decisión 2010/87/UE de la Comisión Europea, de 5 de febrero de 2010 (según sea enmendada o actualizada en cada momento).

País Pertinente” significa cualquier país además de los del Espacio Económico Europeo (EEE), Suiza y otros países, territorios o sectores especificados que se consideren adecuados en virtud de la Ley de Privacidad de Datos aplicable.

Los términos “Responsable del Tratamiento“, “Interesados“, “Datos Personales“, “Tratamiento,” (y “Tratar” se interpretarán en consecuencia), “Violación de la Seguridad de los Datos Personales“, “Encargado del Tratamiento” y “Autoridad de Control” tendrán el significado que se les otorga en la Ley de Privacidad de Datos aplicable.

  1. Usted acepta que es un Responsable del Tratamiento en relación con los Datos Personales de sus clientes y empleados (o en el caso de agencia o distribuidor, sus clientes serán considerados como los Responsables del Tratamiento de los Datos Personales de sus clientes finales y empleados) que Yext (o la agencia o distribuidor) reciba o genere durante la provisión de Productos (“Datos Personales de Clientes”).
  2. Usted reconoce que Yext (o en el caso de agencia o distribuidor, la agencia o el distribuidor, según corresponda) necesita ciertos Datos Personales de Clientes para crear y gestionar la cuenta y la relación con el Cliente. Yext (o la agencia o distribuidor, según corresponda) tratará dichos Datos Personales de Clientes en calidad de Responsable del Tratamiento.
  3. Al tratar Datos Personales de Clientes en el contexto de la provisión de Listings, Reviews u otros Productos como Answers, Knowledge Tags y Pages, Yext actuará como Encargado del Tratamiento (o en caso de agencia o distribuidor, la agencia o el distribuidor serán los Encargados del Tratamiento y Yext será el subencargado del tratamiento).
  4. Cuando Yext sea un Encargado (o subencargado) del tratamiento, las disposiciones establecidas en las cláusulas 5 a15 siguientes serán aplicables en relación con el tratamiento de Datos Personales de Clientes.
  5. Yext solo tratará los Datos Personales de Clientes de acuerdo con las instrucciones escritas conforme a lo establecido en el presente ATD y en el Acuerdo Marco (incluidas las Condiciones de Producto) y no tratará Datos Personales de Clientes para ningún otro fin salvo que así lo exija la ley, en cuyo caso, cuando esté legalmente permitido, Yext le informará de dicho exigencia legal antes de realizar cualquier tratamiento. Si usted es una agencia o un distribuidor, se asegurará de que los acuerdos con sus clientes contienen las disposiciones apropiadas que le permitan tratar sus Datos Personales de sus Clientes y garantizará que han proporcionado el consentimiento necesario para que pueda subcontratar con Yext y otros subencargados del tratamiento el tratamiento de los Datos Personales de sus Clientes bajo condiciones sustancialmente similares o equivalentes a las recogidas en el presente ATD.
  6. El objeto del Tratamiento de datos es la provisión de los Productos, y el tratamiento se llevará a cabo hasta la fecha en que Yext deje de proporcionarle los Productos. Sus obligaciones y derechos se establecen en el Acuerdo Marco. El Anexo 1 de este ATD establece la naturaleza y el propósito del Tratamiento, los tipos de Tratamiento de Datos Personales de Yext y las categorías de Interesados cuyos Datos Personales se traten.
  7. Yext implementará medidas de seguridad técnicas y organizativas adecuadas (incluida la garantía de que el personal de Yext autorizado para tratar los Datos Personales de Clientes se haya comprometido a cumplir las obligaciones de confidencialidad pertinentes) para garantizar un nivel de seguridad adecuado a los riesgos que se plantean en el Tratamiento de los Datos Personales de Clientes, incluidas aquellas medidas contempladas en las Leyes de Privacidad de Datos aplicables.
  8. En caso de que tenga lugar una Violación de la seguridad de los Datos Personales que pueda afectar a los Datos Personales de Clientes, Yext notificará al Responsable del Tratamiento pertinente (a la dirección de correo electrónico que tengamos en nuestros registros) (o en el caso de distribuidor o agencia, se notificará a dicho distribuidor o agencia) sin demora alguna tras tener conocimiento de dicha Violación.
  9. Yext proporcionará toda la información y asistencia razonablemente necesarias (y dentro de los plazos razonables especificados) para permitir que el Responsable del Tratamiento cumpla con sus obligaciones en virtud de la Ley de Privacidad de Datos aplicable, incluida la asistencia para: (i) cumplir con las obligaciones de seguridad del Responsable del Tratamiento (ii) cumplir con las obligaciones de responder a solicitudes de ejercicio de derechos por parte de Interesados y (iii) llevar a cabo cualquier evaluación de impacto de la protección de datos y revisar cualquier operación de tratamiento para garantizar que se realizan de conformidad con la evaluación de impacto de protección de datos y consultar a la autoridad de control pertinente (cuando proceda). La asistencia de Yext de conformidad con esta disposición se proporcionará a expensas del Responsable del Tratamiento.
  10. Yext auditará la seguridad de los ordenadores y el entorno informático que utilice para el tratamiento de los Datos Personales de Clientes. Esta auditoría: (a) se realizará al menos una vez al año; (b) puede ser realizada por profesionales de seguridad independientes externos, a la discreción y expensas de Yext; (c) se realizará según el estándar SOC2, tipo II; y (d) dará lugar a la generación de un informe de auditoría (“Informe“), que constituirá Información Confidencial de Yext. Previa solicitud por escrito, Yext le proporcionará una copia confidencial del Informe para que pueda verificar de forma razonable el cumplimiento por parte de Yext de las obligaciones de seguridad establecidas en este ATD.
  11. Si desease cambiar esta instrucción con respecto al ejercicio del derecho a una auditoría o a la facilitación de información para demostrar el cumplimiento del artículo 28 del RGPD, tendrá (a sus expensas) el derecho a cambiar esta instrucción, lo cual deberá solicitar por escrito, sin perjuicio de que Yext no tiene obligación de proporcionar Información Confidencial.
  12. Yext notificará inmediatamente al Responsable del Tratamiento (o en el caso de distribuidor o agencia, notificará al distribuidor o a la agencia) si, en su opinión, una instrucción suya en virtud de la cláusula 11 incumple cualquier Ley de Privacidad de Datos aplicable, y Yext tendrá derecho, pero no estará obligado a, suspender la ejecución de las instrucciones en cuestión hasta que dichas instrucciones no se confirmen por escrito.
  13. Tras la resolución del Acuerdo Marco, Yext, a petición suya, eliminará o devolverá todos los Datos Personales de Clientes, a menos que la ley disponga lo contrario.
  14. Usted reconoce y acepta que Yext pueda contratar a las Filiales y a otros terceros apropiados como subencargados (conjuntamente, los “Subencargados del Tratamiento“) para el tratamiento de los Datos Personales de Clientes, siempre y cuando se haya impuesto, mediante un acuerdo escrito, a dichos Subencargados del Tratamiento, obligaciones de protección de datos que no supongan una protección menor a la derivada de las obligaciones que se imponen a Yext en virtud del presente Acuerdo. Yext será responsable frente a usted de cumplimiento de dichas obligaciones por parte de los Subencargados del Tratamiento. Puede encontrar una lista de los Subencargados del Tratamiento en https://www.yext.com/terms/subprocesadores/, así como el mecanismo al que usted acuerda suscribirse para recibir notificaciones de nuevos Subencargados del Tratamiento. Puede oponerse al uso por parte de Yext de un nuevo Subencargado notificándolo por escrito en un plazo de diez (10) días tras la recepción de una notificación de acuerdo con el mecanismo referido en la frase anterior. Las legítimas objeciones deben contener y estar basadas en motivos razonables y documentados relacionados con el incumplimiento por un Subencargado del Tratamiento de la Ley de Privacidad de Datos aplicable. Si, en opinión razonable de Yext, dichas objeciones son legítimas, se abstendrá de utilizar dicho Subencargado en el contexto del Tratamiento de Datos Personales de Clientes. En tales casos, Yext hará todo lo posible por (i) poner a su disposición un cambio en los Productos de Yext o (ii) recomendar un cambio en su configuración o uso de los Productos para evitar el Tratamiento de los Datos Personales de Clientes por parte del Subencargado del Tratamiento frente al que se haya manifestado su oposición. Si Yext no puede poner a su disposición dicho cambio dentro de un plazo razonable, podrá, mediante notificación por escrito dirigida a Yext, resolver mediante notificación por escrito los Productos que Yext no pueda proporcionar sin el uso del Subencargado del Tratamiento de datos en cuestión. Yext le reembolsará cualquier tarifa prepagada por el resto de la duración de dichos Productos tras la fecha de efectos de la resolución con respecto al Producto cuya contratación haya sido resuelta.
  15. Usted reconoce que, como parte de los Productos, los Datos Personales de Clientes se almacenarán en o se tendrá acceso a los mismos desde los EE. UU. o cualquier otro País Pertinente donde los Subencargados del Tratamiento de Yext tengan sus instalaciones. Con el fin de garantizar que existe una protección adecuada en dichas transferencias de datos conforme a la Ley de Privacidad de Datos aplicable, Yext, Inc. está autocertificada en virtud de la Política de Privacidad UE/Suiza-EE. UU. (EU/Swiss-US Privacy Shield Framework) ante el Departamento de Comercio de EE. UU. y el alcance de la certificación incluye Datos Personales de Clientes (así como transferencias desde el Reino Unido posteriores al Brexit). Cuando Yext utilice un Subencargado del Tratamiento (distinto de Yext, Inc.) en un País Pertinente, tomará las medidas necesarias para garantizar que existe una protección adecuada para dichas transferencias, tal y como se define en el RGPD (lo cual puede incluir el uso de Cláusulas Tipo).

 

ANEXO 1

INFORMACIÓN SOBRE TRATAMIENTO DE DATOS

Interesados

Los Datos Personales transferidos se refieren a las siguientes categorías de Interesados:

Si el Cliente se suscribe a Listings (parte de los paquetes Starter, Professional y Ultimate) y decide proporcionar dicha información en Listings, los empleados del Cliente;
Si el Cliente se suscribe a Review Monitoring (parte de los paquetes Professional y Ultimate), las personas que escribieron opiniones en línea en los correspondientes Sitios de Editores.
Si el Cliente se suscribe a Review Generation (parte del paquete Ultimate), las personas que envían opiniones al Cliente.
Si el Cliente se suscribe a Pages, los visitantes de las páginas web del Cliente que se basen en Pages.
Si el Cliente se suscribe a Knowledge Tags, los visitantes de las páginas web del Cliente que utilicen Knowledge Tags.
Si el Cliente se suscribe a Answers, los visitantes de las páginas web del Cliente que utilicen Answers.

Categorías de datos

 Los Datos Personales transferidos conciernen las siguientes categorías de datos:
Si el Cliente proporciona dicha información como parte de Listings, datos de contacto, nombre, correo electrónico, biografía y cargo de los empleados del Cliente;
Si el Cliente tiene acceso a Review Monitoring (parte de los paquetes Professional y Ultimate), el nombre o alias de las personas que escribieron opiniones en línea en los correspondientes Sitios de Editores.
Si el Cliente se suscribe a Review Generation, el nombre y correo electrónico o número de teléfono móvil de la persona que envíe una opinión al Cliente y el contenido de dicha opinión.
Si el Cliente se suscribe a Pages, las direcciones IP de los visitantes del sitio web se recogerán utilizando un píxel de seguimiento.
Si el Cliente se suscribe a Knowledge Tags, las direcciones IP de los visitantes del sitio web se recogerán utilizando un píxel de seguimiento (pixel tag).
Si el Cliente se suscribe a las Answers, dependiendo de las opciones de Producto elegidas por el Cliente, se le asignará un ID de sesión y se recogerá la dirección IP de los visitantes del sitio web, así como el nombre y la dirección de correo electrónico de dichos visitantes si son ellos quienes envían las opiniones.  Concretamente, el Cliente puede elegir si se utilizan o no cookies de sesión, si se utiliza o no almacenamiento de sesión y si se recogen o no el nombre y la dirección de correo electrónico de los visitantes de la página web del Cliente.

Categorías especiales de datos (si procede)

Los Datos Personales transferidos se refieren a las siguientes categorías especiales de datos:

Ninguna;
Yext no recoge ni trata de forma intencionada ninguna categoría especial de datos en la provisión de sus Productos y servicios. El Cliente se compromete a no proporcionar categorías especiales de datos a Yext en ningún momento.

Operaciones de Tratamiento

 Los Datos Personales transferidos estarán sujetos a las siguientes actividades básicas de tratamiento:
Recogida, divulgación mediante transmisión y difusión, alojamiento, mantenimiento, organización, almacenamiento y soporte.