Effective date: 1 de mayo de 2023
VERSIÓN PREVIA

Anexo de procesamiento de datos

Para la prestación de sus servicios, Manychat procesa ciertos datos personales relacionados con clientes, sus representantes, los usuarios finales y los suscriptores del cliente. Al hacerlo, Manychat actúa como procesador en nombre de un cliente y como controlador. En el presente Anexo de procesamiento de datos (“DPA”, por sus siglas en inglés), se establecen los términos y condiciones del procesamiento por parte de Manychat.

El DPA integra los Términos de servicio (“Acuerdo”) a los que suscriben Manychat, Inc., sus subsidiarias o filiales, según proceda (“Manychat”) y el cliente, en su carácter de parte en el Acuerdo (“Cliente”).

Índice

1. Anexo de procesamiento de datos

1.1. Definiciones

1.2. Relaciones entre las partes

1.3. Subprocesamiento

1.4. Medidas de seguridad

1.5. Revisiones de seguridad e informes

1.6. Vulneración de datos y notificación

1.7. Derechos de los interesados y cooperación

1.8. Devolución o eliminación de los datos

1.9. Varios

ANEXO 1. Detalles del procesamiento

1A. Manychat como procesador

1B. Manychat como controlador

ANEXO 2. Medidas de seguridad

ANEXO 3. Disposiciones internacionales y términos específicos de jurisdicción

1. Definiciones

Leyes de protección de datos aplicables”: todas las leyes y normativas de privacidad y protección de datos aplicables a cualquiera de las partes en virtud del Acuerdo. Cada parte determina por sí misma sus Leyes de protección de datos aplicables y entiende que para Manychat y el Cliente estas leyes pueden ser diferentes.

Controlador”: persona física o jurídica que determina los fines y medios del Procesamiento de datos personales.

Cliente”: una de las Partes en el Acuerdo con Manychat. El Cliente puede ser un cliente individual, una agencia de marketing, un particular, un empresario individual o una persona jurídica en nombre de la cual los Usuarios finales utilizan el Servicio.

Información de la cuenta del cliente”: los Datos personales relacionados con el Cliente, sus representantes y los Usuarios finales que Manychat procesa como Controlador independiente, como se describe más particularmente en este DPA.

Contenido del cliente”: los Datos personales relacionados con los Usuarios finales y los Suscriptores del Cliente que Manychat procesa en nombre del Cliente como Procesador para la prestación del Servicio, como se describe más particularmente en este DPA.

Suscriptores del cliente”: los Interesados con los que el Cliente se comunica respecto al uso del Servicio y cuyos datos carga en el Servicio (clientes, clientes potenciales, contactos de redes sociales y plataformas de mensajería u otros individuos).

Vulneración de datos”: cualquier violación de seguridad no autorizada o ilegal confirmada que conduzca a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilegal a los Datos personales que procesa Manychat. La Vulneración de datos no incluye intentos fallidos ni actividades que no comprometan la seguridad de los Datos personales, incluidos intentos fallidos de inicio de sesión, pings, escaneos de puertos, ataques de denegación de servicio u otros ataques de red a cortafuegos o sistemas en red.

Interesado”: una persona física identificada o identificable a la que se refieren los Datos personales.

Usuarios finales”: se refiere al Cliente y a otros Interesados con acceso legal al Servicio en nombre del Cliente o en virtud de una autorización legal del Cliente.

Datos personales”: significa “datos personales”, “información personal”, “información personal identificable” o información similar definida y regulada por las Leyes de Protección de Datos Aplicables y refiere a cualquier información relacionada con el Interesado. De acuerdo con este DPA, los Datos personales abarcan el Contenido del cliente y la Información de la cuenta del cliente. Si se utiliza el término Datos personales, las disposiciones se aplicarán tanto al Contenido del cliente como a la Información de la cuenta del cliente.

Procesamiento”: cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, que se realicen con los Datos personales o con conjuntos de Datos personales, como la recolección, el registro, la organización, la estructuración, la conservación, la adaptación o modificación, la extracción, la consulta, el uso, la comunicación por transmisión, la difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, eliminación o destrucción.

Procesador”: una entidad que trata los Datos personales en nombre de un Controlador.

Servicio”: cualquier producto o servicio proporcionado por Manychat al Cliente de conformidad con el Acuerdo.

Subprocesador”: cualquier Procesador contratado por Manychat para colaborar en el cumplimiento de sus obligaciones con respecto a la prestación del Servicio en virtud del Acuerdo o este DPA.

Todos los términos en mayúsculas que no se definen en el presente DPA tendrán el significado establecido en el Acuerdo.

2. Relaciones entre las partes

2.1. Manychat como procesador. Las partes reconocen y acuerdan que con respecto al Procesamiento del Contenido del Cliente, Manychat es un Procesador que actúa en nombre del Cliente (ya sea un Controlador o un Procesador). Manychat Procesa el Contenido del Cliente de acuerdo con las instrucciones del Cliente que se establecen en la Sección 2.4. Manychat Procesará el Contenido del Cliente únicamente para los fines descritos en este DPA y solo de acuerdo con las instrucciones del Cliente.

2.2 Manychat como controlador. Las partes reconocen que, con respecto al Procesamiento de la Información de la Cuenta del Cliente, Manychat es un controlador independiente, no un controlador conjunto con el Cliente. Manychat procesará la Información de la cuenta del cliente como Controlador para llevar a cabo las funciones necesarias, como la celebración del acuerdo, la gestión de la cuenta, el cumplimiento de la ley, la contabilidad, los impuestos, la facturación, la auditoría, las ventas y la comunicación de marketing con el Cliente. Manychat Procesará esta información de conformidad con su Política de privacidad, que se puede consultar en www.manychat.com/es/legal/privacy, y con las disposiciones aplicables de este DPA.

2.3. Detalles del procesamiento de la información. El procesamiento del Contenido del cliente y la Información de la cuenta del cliente se detallan en el Anexo 1. Además, se especifica la naturaleza y la finalidad del Procesamiento, la duración del Procesamiento, los tipos de datos personales y las categorías de interesados, las fuentes de Datos personales, los Procesadores y Subprocesadores contratados por Manychat.

2.4. Instrucciones del cliente. Manychat procesará el Contenido del cliente únicamente de acuerdo con las instrucciones del Cliente. Al celebrar el Acuerdo, incluido este DPA, el Cliente da instrucciones a Manychat para Procesar su Contenido con el fin de prestar el Servicio.

2.5. Cliente como procesador. Si el Cliente es procesador en nombre de algún otro Controlador, el Cliente garantiza de forma continua que el Controlador pertinente ha autorizado (i) las instrucciones descritas en el DPA y el nombramiento de Manychat como subprocesador y (ii) la contratación por parte de Manychat de Subprocesadores, según lo que se establece en la Sección 3. El Cliente remitirá inmediatamente al Controlador pertinente cualquier notificación que Manychat le envíe en virtud del presente DPA (sobre contratación de un nuevo Subprocesador, vulneración de datos, solicitud de interesados, etc.).

2.6. Cumplimiento de la ley. Cada una de las partes cumplirá con sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables para el tratamiento de los datos personales.

2.7. Obligaciones del cliente. El Cliente acepta que cumplirá con sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables del Cliente con respecto al Procesamiento de Datos personales y cualquier instrucción de procesamiento que emita a Manychat. En particular, el Cliente debe notificar y obtener todos los consentimientos (u otros fundamentos legales) y derechos necesarios en virtud de las Leyes de Protección de Datos Aplicables del Cliente a fin de (i) contratar a Manychat para Procesar el Contenido del Cliente en nombre del Cliente y (ii) transferir la Información de la cuenta del cliente a Manychat de conformidad con el Acuerdo y este DPA.

El Cliente debe informar a Manychat de cualquier requisito para el Procesamiento del Contenido del cliente por parte de Manychat que se establezca en virtud de las Leyes de Protección de Datos Aplicables del Cliente y que no estén cubiertas directamente por este DPA.

3. Subprocesamiento

3.1. Subprocesadores autorizados. El Cliente autoriza y acepta específicamente que Manychat pueda contratar a Subprocesadores para Procesar el Contenido del Cliente. Los Subprocesadores actualmente contratados por Manychat y autorizados por el Cliente están disponibles en www.manychat.com/es/legal/service-providers. El Cliente también autoriza a Manychat a contratar nuevos Subprocesadores para Procesar el Contenido del Cliente sujeto al procedimiento que se establece en la Sección 3.3 del DPA.

3.2. Obligaciones del subprocesador. Con respecto a todos los Subprocesadores, Manychat deberá hacer lo siguiente:

  • celebrar un acuerdo jurídicamente vinculante con el Subprocesador, en el que se impongan obligaciones de protección de datos sustancialmente similares a las que se establecen en el presente DPA; y
  • seguir siendo responsable del cumplimiento por parte del Subprocesador de las obligaciones de este DPA y de cualquier acto u omisión del Subprocesador que provoque que Manychat incumpla cualquiera de sus obligaciones en virtud de este DPA.

3.3. Contratación de nuevos subprocesadores. Manychat notificará al Cliente sobre la contratación de cualquier nuevo Subprocesador, si el Cliente se suscribe para recibir estas actualizaciones en www.manychat.com/es/legal/subscribe-subprocessor-updates. Manychat enviará la notificación al menos diez (10) días naturales antes de que el nuevo Subprocesador acceda al Contenido del Cliente. Si Manychat cree razonablemente que es necesario contratar a un nuevo Subprocesador y proporcionar acceso al Contenido del Cliente de forma acelerada para proteger la confidencialidad, la integridad o la disponibilidad del Contenido del Cliente o para evitar una interrupción material del Servicio, Manychat lo notificará tan pronto como sea posible.

3.4. Objeción. Si, en el plazo de cinco (5) días naturales tras la recepción de la notificación de Manychat, el Cliente notifica a Manychat que se opone a la designación de un nuevo Subprocesador por parte de Manychat basándose en preocupaciones razonables sobre la protección de datos, las partes discutirán estas inquietudes de buena fe e intentarán resolverlas. Si las partes no pueden llegar a un acuerdo mutuo para resolver las inquietudes, el Cliente, como único y exclusivo recurso, podrá rescindir el Acuerdo y el DPA por conveniencia, sin derecho a reembolso, y seguirá siendo responsable del pago de los honorarios comprometidos en un formulario de pedido, un pedido, una declaración de trabajo u otro documento de pedido similar.

Si el Cliente no notifica a Manychat sus objeciones en el plazo especificado, se considerará que Manychat está autorizado a contratar a un nuevo Subprocesador por el Cliente.

4. Medidas de seguridad

4.1. Medidas adecuadas. Durante la vigencia de este DPA, Manychat implementará y mantendrá las medidas de seguridad técnicas y organizativas que se establecen en el Anexo 2 (“Medidas de seguridad”) tanto para proteger los Datos personales de posibles Vulneraciones como para preservar la seguridad y la confidencialidad de los Datos personales, de acuerdo con las normas de seguridad de Manychat.

4.2. Confidencialidad del procesamiento. Manychat se asegurará de que cualquier persona autorizada por Manychat para Procesar Datos personales (entre ellos, su personal, agentes, subcontratistas y Subprocesadores) esté bajo una obligación apropiada de confidencialidad (ya sea un deber contractual o legal).

4.3. Responsabilidades del cliente. El Cliente acepta lo siguiente:

  • Ha revisado y evaluado la lista de Medidas de seguridad y la considera adecuada para la protección de los Datos personales en virtud de las Leyes de Protección de Datos Aplicables del Cliente y proporciona las garantías adecuadas para la transferencia transfronteriza de Datos personales, si corresponder. A petición de un Cliente, Manychat puede implementar medidas o salvaguardas adicionales que puedan ser razonablemente necesarias para permitir la transferencia legal de Datos personales.
  • Salvo lo dispuesto en el presente DPA, el Cliente es responsable de su uso seguro del Servicio, incluida la protección de las credenciales de autentificación de su cuenta y la protección de la seguridad de los Datos personales en tránsito, así como de la seguridad de los sistemas y dispositivos del Cliente que utiliza para acceder al Servicio.

4.4. Actualizaciones a las medidas de seguridad. El Cliente reconoce que las Medidas de seguridad están sujetas al progreso y desarrollo técnico y que Manychat puede actualizar o modificar las Medidas de seguridad de vez en cuando, siempre que las actualizaciones y las modificaciones no generen la degradación de la seguridad general del Servicio adquirido por el Cliente. El Cliente es responsable de revisar la información puesta a disposición por Manychat relativa a la seguridad actualizada de los datos y de tomar una determinación independiente sobre si el Servicio cumple los requisitos del Cliente y las obligaciones legales en virtud de las Leyes de Protección de Datos Aplicables del Cliente.

5. Revisiones de seguridad e informes

5.1. Informes de seguridad. Manychat recurre a auditores externos para verificar la adecuación de sus medidas de seguridad y obtuvo la certificación ISO 27001 para el Servicio. Profesionales de seguridad independientes elegidos por Manychat realizan estas auditorías al menos una vez al año y elaboran un informe de auditoría confidencial (“Informe de auditoría”). Previa solicitud por escrito, y sujeto a controles razonables de confidencialidad, Manychat pondrá a disposición del Cliente una copia resumida del Informe de auditoría más reciente de Manychat.

5.2. Diligencia debida sobre la seguridad. Además del Informe de auditoría, Manychat responderá a las solicitudes razonables de información enviadas por el Cliente para confirmar el cumplimiento de Manychat de este DPA, incluidas las respuestas a los cuestionarios de seguridad de la información y diligencia debida del Cliente. El Cliente no podrá ejercer este derecho más de una vez por año natural.

6. Vulneración de datos y notificación

6.1. Plazo de notificación. Al tener conocimiento de una Vulneración de datos confirmada, Manychat notificará al Cliente sin demoras indebidas y en ningún caso pasadas las 52 horas del descubrimiento del incidente, a menos que lo prohíba la legislación aplicable. No constituirá un retraso indebido la demora en la notificación solicitada por las fuerzas del orden o a la luz de las necesidades legítimas de Manychat de investigar o remediar el asunto antes de proporcionar la notificación.

6.2. Contenido de la notificación. En las notificaciones, se describirán, en la medida de lo posible, los detalles de la Vulneración de datos, incluidos los pasos que se tomaron para mitigar los riesgos potenciales y los pasos que Manychat recomienda al Cliente para hacer frente a la Vulneración.

6.3. Cooperación de Manychat. Manychat cooperará con el Cliente y tomará medidas comerciales razonables para ayudar en la investigación, mitigación y remediación de cada Vulneración de datos. La notificación o respuesta de Manychat a una Vulneración de datos en virtud de esta sección no se interpretará como un reconocimiento por parte de Manychat de cualquier culpa o responsabilidad con respecto a la Vulneración de datos.

6.4. Notificación de vulneraciones de datos a las autoridades y a los interesados. El Cliente es el único responsable de cumplir con cualquier obligación de notificación a terceros relacionada con una Vulneración de datos en virtud de las Leyes de Protección de Datos Aplicables del Cliente (p. ej., notificación a las autoridades de protección de datos o comunicación a los Interesados).

7. Derechos de los interesados y cooperación

7.1. Solicitudes de los interesados. A solicitud del cliente, Manychat le proporcionará la ayuda que pueda requerir razonablemente para cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables del Cliente y responder a las solicitudes del Interesado para ejercer sus derechos en virtud de las Leyes de Protección de Datos Aplicables del Cliente (p. ej., los derechos de acceso a la información, rectificación, supresión, restricción, portabilidad y objeción), en los casos en que el Cliente no pueda razonablemente cumplir con las solicitudes de forma independiente mediante el uso de la funcionalidad de autoservicio del Servicio.

7.2. Autorización de solicitudes directas a Manychat. Si Manychat recibe una solicitud de un Interesado en relación con el Contenido del cliente, (i) para cancelar la suscripción del Interesado a los mensajes enviados por el Cliente a través del Servicio o (ii) para eliminar el Contenido del cliente en el Servicio con respecto al Interesado en parte o en su totalidad, el Cliente autoriza e instruye a Manychat a cancelar la suscripción o a eliminar la Información de Contenido relacionada con el Interesado.

7.3. Soporte de Manychat. Manychat proporcionará al Cliente el soporte razonable que se solicite específicamente para cumplir con las obligaciones en virtud de las Leyes de Protección de Datos Aplicables del Cliente. Para ello, se tendrán en cuenta la naturaleza del procesamiento y la información disponible para Manychat como Procesador (p. ej., con respecto a la seguridad del Procesamiento, la notificación de la Vulneración de datos, la evaluación del impacto de la protección de datos y las consultas previas con las autoridades de supervisión). Si este soporte razonable requiere que Manychat asigne recursos significativos a ese esfuerzo, se hará a cargo del Cliente.

8. Devolución o eliminación de los datos

8.1. Manychat debe eliminar o devolverle todo el Contenido del cliente que conste en los sistemas de Manychat si recibe una solicitud del Cliente o cuando se cumpla el plazo del Acuerdo. No obstante lo anterior, el Cliente entiende que Manychat puede tener que conservar algunas partes del Contenido del cliente si así lo requiere la ley, de acuerdo con sus políticas de conservación de información. Esta información permanecerá sujeta a los requisitos de este DPA.

9. Varios

9.1. Procesamiento en los Estados Unidos. El Cliente reconoce que la prestación del Servicio y las actividades relacionadas de Manychat como Controlador también pueden requerir el procesamiento de Datos personales por parte de Subprocesadores o Procesadores en países fuera del Espacio Económico Europeo (EEE) e, incluso, en los Estados Unidos.

9.2. Vía de comunicación. Manychat enviará todas las notificaciones que se mencionan en el DPA al correo electrónico proporcionado por el Cliente durante el proceso de registro o las publicará en la interfaz de usuario del Servicio. El Cliente debe enviar todas las objeciones y las solicitudes que se mencionan en el DPA u otras comunicaciones relacionadas con el Procesamiento de Datos personales al mismo correo electrónico desde el que recibió la notificación de Manychat o a privacy@manychat.com.

9.3. Reclamaciones. Cualquier reclamación presentada en virtud de este DPA o en relación con él estará sujeta a los términos y condiciones, incluidas, entre otras, las exclusiones y limitaciones, que se establecen en el Acuerdo.

9.4. No hay derechos de terceros beneficiarios. El presente DPA no confiere derechos de terceros beneficiarios. Está destinado exclusivamente a las partes y a sus respectivos sucesores y cesionarios autorizados. No beneficia a ninguna otra persona, ni ninguna de sus disposiciones puede ser aplicada por ella.

9.5. Legislación aplicable. El presente DPA se regirá e interpretará de conformidad con la legislación aplicable y las disposiciones sobre jurisdicción contenidas en el Acuerdo, salvo que las Leyes de Protección de Datos Aplicables del Cliente dispongan lo contrario o se establezca en los Términos específicos de la jurisdicción en virtud del Anexo 3.

9.6. Terminación. El presente Anexo quedará automáticamente sin efecto a la expiración o rescisión del Acuerdo. La rescisión del DPA solo es posible si se rescinde el Acuerdo.

9.7. Responsabilidad. El Cliente también acepta que se contabilizará cualquier sanción reglamentaria en la que incurra Manychat en relación con los Datos personales que surja por el incumplimiento del Cliente de sus obligaciones en virtud de este DPA o de cualquier Ley de Protección de Datos Aplicable del Cliente, y que se reducirá la responsabilidad de Manychat en virtud del Acuerdo como si fuera responsabilidad del Cliente en virtud del Acuerdo. Manychat es responsable de las sanciones reglamentarias incurridas por el Cliente o Manychat en relación con los Datos personales que surjan como resultado del incumplimiento por parte de Manychat de sus obligaciones en virtud de este DPA o de las Leyes de Protección de Datos Aplicables de Manychat.

Sin perjuicio de cualquier disposición en contrario contenida en el presente DPA o en el Acuerdo (incluidas, a título meramente enunciativo y no limitativo, las obligaciones de indemnización de cualquiera de las partes), ninguna de las partes será responsable de las multas impuestas o recaudadas contra la otra parte por una autoridad reguladora u organismo gubernamental en relación con la infracción a las Leyes de Protección de Datos Aplicables de la otra parte.

9.8. Relación con el Acuerdo. El presente DPA es un elemento fundamental del Acuerdo y, salvo que aquí se establezca lo contrario, el Acuerdo permanece inalterado y en pleno vigor y efecto. En caso de conflicto entre el presente DPA y el Acuerdo, prevalecerá el DPA. Las partes acuerdan que el presente DPA sustituirá a cualquier DPA existente que las partes hayan celebrado previamente en relación con el Servicio.

ANEXO 1. Detalles del procesamiento

1A. Manychat como procesador

Fin y naturaleza del procesamiento La prestación del Servicio en virtud del Acuerdo, incluida la prestación de asistencia al Cliente, la comunicación relativa a la Cuenta del Cliente (envío de anuncios, avisos técnicos, actualizaciones, alertas de seguridad y mensajes de asistencia y administrativos) y la respuesta a las solicitudes, preguntas y comentarios relacionados con el Servicio, el registro de actividades, el seguimiento de errores e incidencias, la corrección de fallos y errores, la garantía de la accesibilidad, seguridad y facilidad de uso del Servicio y su mejora en interés del Cliente.
Período durante el cual se conservarán los datos personales Hasta la rescisión o expiración del Acuerdo de conformidad con sus términos.
Categorías de interesados - Usuarios finales
- Suscriptores del Cliente
Categorías de datos personales Usuarios finales: información de identificación (nombre, correo electrónico), información de perfil disponible públicamente en redes sociales, páginas y cuentas vinculadas, información de TI (direcciones IP, ubicación geográfica, datos de uso, datos de cookies, datos de navegación), información financiera (datos de tarjetas de crédito, datos de cuentas, información de pagos).
Suscriptores del Cliente:
- información de identificación, información de perfil de redes sociales disponible públicamente (foto, nombre, fecha de nacimiento, sexo, ubicación geográfica);
- historial y contenido de chats, información de uso de chatbot y otros datos electrónicos enviados, almacenados, enviados o recibidos por los Usuarios finales y otra información personal, cuyo alcance determina y controla el Cliente a su entera discreción;
- información de TI (direcciones IP, ubicación geográfica, datos de uso, datos de cookies, datos del navegador).
Datos confidenciales No. Tampoco se utilizan otros tipos de Datos personales para revelar indirectamente información sobre origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, salud, vida sexual u orientación sexual.
Frecuencia de la transferencia De forma continuada, hasta que se elimine de conformidad con los términos del Acuerdo y el DPA.
Origen de los datos El proceso de registro del Cliente (o Usuario final) y el uso del Servicio por parte del Cliente (Usuario final), incluida la comunicación con los suscriptores y las integraciones de terceros, así como con aplicaciones vinculadas por el Cliente (p. ej., Facebook, Inc.; Instagram; Telegram; Zapier y otras integraciones y aplicaciones especificadas en www.apps.manychat.com/ que estén vinculadas por el Cliente a su cuenta en el Servicio).
Transferencia posterior Consulte la lista de Subprocesadores en www.manychat.com/es/legal/service-providers.
La duración del subprocesamiento se limita al período de conservación del Procesamiento por Manychat especificado en esta tabla.

1B. Manychat como controlador

Fin y naturaleza del procesamiento Celebración del Contrato, gestión de cuentas, cumplimiento de la legislación, incluida la relativa a sanciones, contabilidad, fiscalización, facturación, auditoría, ventas y comunicación de marketing con el Cliente.
Período durante el cual se conservarán los datos personales Hasta la rescisión del Acuerdo, la cancelación de la suscripción a las comunicaciones comerciales y la expiración del período de conservación exigido por la ley.
Categorías de interesados - Cliente y sus representantes
- Usuarios finales
Categorías de datos personales Cliente y sus representantes: nombre completo, cargo, empresa, correo electrónico.
Usuarios finales: información de identificación (identificación, nombre, correo electrónico, estado), páginas y cuentas vinculadas, productos en uso, información de TI (direcciones IP, ubicación geográfica), información financiera (datos de tarjetas de crédito, datos de cuentas, información de pagos).
Datos confidenciales Tampoco se utilizan otros tipos de Datos personales para revelar indirectamente información sobre origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, salud, vida sexual u orientación sexual.
Frecuencia de la transferencia De forma continuada, hasta que se elimine de conformidad con los términos del Acuerdo y el DPA.
Origen de los datos Proceso de registro del Cliente y uso del Servicio por parte del Cliente.
Transferencia posterior Consulte la lista de Proveedores de Servicio en www.manychat.com/es/legal/service-providers.
Si estamos legalmente obligados a hacerlo, también podemos revelar Datos personales a las autoridades públicas, como las fuerzas de seguridad.

ANEXO 2. Medidas de seguridad

Manychat implementa y mantiene medidas de seguridad técnicas y organizativas diseñadas para proteger los Datos personales de las Vulneraciones de datos. En la actualidad, observamos las Medidas de seguridad que se describen en el Anexo 2. Si procede, este Anexo 2 sirve de Anexo II a las Cláusulas contractuales tipo de la Unión Europea (UE).

1. Programa y políticas de seguridad

1.1. Manychat mantiene y aplica un programa de seguridad basado en el riesgo y un marco que aborda cómo gestionamos la seguridad. El marco de seguridad de Manychat se basa en el Sistema de Gestión de Seguridad de la Información ISO 27001 e incluye las siguientes áreas: políticas y procedimientos, gestión de activos, gestión de accesos, criptografía, seguridad física, seguridad de las operaciones, seguridad de las comunicaciones, seguridad de la continuidad del negocio y de la recuperación tras desastres, seguridad de las personas, seguridad de los productos, seguridad de la infraestructura de red y en la nube, cumplimiento de la seguridad, seguridad de terceros, gestión de vulnerabilidades, supervisión de la seguridad y respuesta ante incidentes.

1.2. Nuestro programa de seguridad incluye lo siguiente:

  • políticas documentadas que aprobamos, publicamos y comunicamos al personal adecuado internamente y revisamos al menos una vez al año;
  • asignación clara y documentada de responsabilidad y autoridad para las actividades del programa de seguridad;
  • pruebas periódicas de los controles, sistemas y procedimientos clave.

2. Gestión de riesgos y activos

2.1. Manychat utiliza un enfoque integrado de gestión de riesgos centrado en prácticas de seguridad tanto técnicas como operativas. La evaluación continua y sistemática de los riesgos es una parte coherente de la selección de los controles de protección de mejora adecuados y de la garantía de que los Datos personales están seguros.

2.2. Manychat toma medidas razonables para identificar los activos y su nivel de criticidad. El inventario completo y la categorización son la base para elegir y aplicar las medidas de seguridad técnicas y organizativas óptimas, lo que permite garantizar la protección de los activos y la información.

3. Seguridad y concienciación del personal

3.1. El personal de Manychat (empleados y contratistas) no procesa Datos personales sin autorización. El personal está obligado a mantener la confidencialidad de los Datos personales. Esta obligación continúa incluso después de que finalice su contrato.

3.2. El personal de Manychat (empleados y contratistas) reconoce sus responsabilidades en materia de seguridad y privacidad de la información en virtud de las políticas de Manychat.

3.3. Manychat se centra en la concienciación de los empleados en materia de seguridad como factor clave para mejorar el nivel general de madurez y la cultura de la seguridad. El personal de Manychat (empleados y contratistas) recibe formación en seguridad y privacidad al menos una vez al año.

3.4. Se realizan comprobaciones previas a la contratación de todos los empleados y contratistas nuevos.

4. Gestión de acceso

4.1. Manychat gestiona el acceso en función de los principios de “Necesidad de saber” y “Mínimo privilegio”. Esto significa que el personal solo tiene permitido acceder a los Datos personales cuando sea necesario para el desempeño de sus funciones.

4.2. Manychat desactiva las credenciales de autentificación del personal inmediatamente después de la terminación de su empleo o servicios.

4.3. Para acceder al entorno de producción y a los sistemas críticos, un usuario debe tener un nombre de usuario y una contraseña únicos y la autentificación multifactor activada.

4.4. Manychat aplica medidas para evitar que los sistemas de información sean utilizados por personas no autorizadas. Entre las medidas, se incluyen las siguientes: (a) procedimientos de identificación y autentificación de usuarios; (b) nombre de usuario y contraseña únicos; (c) políticas de complejidad de contraseñas (caracteres especiales, longitud mínima, cambio de contraseña); (c) bloqueo automático (p. ej., contraseña o tiempo de espera).

4.5. Manychat supervisa y registra los accesos al entorno de producción y a los sistemas críticos.

5. Medidas de seguridad técnicas y de aplicación

5.1. Manychat ha implementado y mantendrá medidas de seguridad técnicas y de aplicación, controles internos y rutinas de seguridad de la información apropiados, destinados a proteger los Datos personales contra pérdida, destrucción o alteración accidentales; divulgación o acceso no autorizados; o destrucción ilegal, como se indica a continuación:

  • Segregación de entornos. Manychat segrega los entornos de desarrollo y producción para asegurarse de que los Datos personales están protegidas contra cualquier tipo de acceso no autorizado.
  • Cifrado en tránsito. Todas las comunicaciones de red externas están protegidas con cifrado. Admitimos las últimas suites de cifrado seguras recomendadas para cifrar todo el tráfico en tránsito, incluido el uso de protocolos TLS 1.2, cifrado AES256 y funciones hash SHA2, siempre que lo admitan los clientes.
  • Cifrado en reposo. La información en reposo de los Clientes se cifran utilizando normas de cifrado conformes con FIPS 140-2, que se aplican a todos los tipos de información en reposo dentro de los sistemas de Manychat: bases de datos relacionales, unidades de archivos, copias de seguridad, etc. El acceso a las claves criptográficas está restringido a un número limitado de personal autorizado de Manychat.
  • Redundancia. Manychat elige proveedores de infraestructuras informáticas que se comprometen a prestar mecanismos con las mejores prácticas de seguridad incorporadas en materia de confidencialidad, integridad y disponibilidad. El principal proveedor de IaaS de Manychat, AWS (Frankfurt, UE), se compromete a cumplir un estricto Acuerdo de Nivel de Servicio de Recuperación ante Desastres (DR).
  • Evaluación de vulnerabilidades. Manychat realiza pruebas automatizadas y manuales de seguridad de aplicaciones e infraestructuras para identificar y parchear posibles vulnerabilidades de seguridad. Los parches de software críticos se evalúan, prueban y aplican de forma proactiva.
  • Pruebas de penetración. Contratamos a proveedores de servicios independientes para que realicen pruebas de penetración con el fin de evaluar las posibles amenazas a la seguridad del sistema, al menos una vez al año.
  • Desarrollo y adquisición de software. Manychat sigue los principios de seguridad por diseño en las distintas fases del ciclo de vida de creación de servicios, desde la recolección de requisitos y el diseño del producto hasta su implantación. En el caso del software desarrollado por Manychat, la empresa sigue las normas y los procedimientos de codificación segura establecidos en sus procedimientos operativos estándar.
  • Almacenamiento. Las bases de datos de producción y los servidores de procesamiento de datos de Manychat están alojados en un centro de datos ubicado en AWS (Frankfurt, UE). Manychat mantiene un control administrativo completo sobre las bases de datos y los servidores virtuales. Ningún proveedor externo tiene acceso lógico a los Datos personales.
  • Gestión de cambios. Manychat implementa procedimientos documentados de gestión de cambios que proporcionan un enfoque coherente para controlar, implementar y documentar los cambios (incluidos los cambios de emergencia) para el software, los sistemas de información o la arquitectura de red de Manychat.
  • Seguridad de la red. Todo el acceso a la red entre servidores está restringido. Se utilizan listas de control de acceso para permitir que solo los servicios autorizados interactúen en la red. Utilizamos herramientas de terceros para detectar, mitigar y prevenir los ataques distribuidos de denegación de servicio (DDoS, por sus siglas en inglés).

6. Gestión de proveedores externos

6.1. Manychat puede utilizar proveedores externos para prestar los Servicios. A la hora de elegir a proveedores externos que puedan acceder a los Datos personales, almacenarlos, transmitirlos o utilizarlos, Manychat lleva a cabo una evaluación de la calidad y la seguridad conforme lo dispuesto en sus procedimientos operativos estándar.

6.2. Manychat celebra acuerdos por escrito con todos sus proveedores que incluyen obligaciones de confidencialidad, privacidad y seguridad a fin de proporcionar un nivel adecuado de protección de los Datos personales que estos proveedores pueden Procesar.

7. Seguridad física y ambiental

7.1. Manychat utiliza centros de datos de AWS para alojar su infraestructura de producción. Los centros de datos de AWS están estrictamente controlados, tanto en el perímetro como en los puntos de entrada al edificio, por personal de seguridad profesional que utiliza vídeovigilancia, sistemas de detección de intrusos y otros medios electrónicos. Cada centro de datos cuenta con sistemas de alimentación eléctrica redundantes que están disponibles las veinticuatro (24) horas al día, siete (7) días a la semana.

7.2. Las oficinas de Manychat cuentan con un programa de seguridad física para gestionar las visitas, las entradas al edificio, la vídeovigilancia y la seguridad general de la oficina. Todos los empleados, los contratistas y los visitantes deben llevar una tarjeta de identificación.

7.3. Manychat revisa los informes de auditoría de terceros para verificar si los proveedores de servicios de Manychat mantienen controles de acceso físico adecuados para los centros de datos gestionados.

8. Resiliencia y continuidad del Servicio

8.1. Manychat aplica medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los Datos personales de manera oportuna en caso de incidente físico o técnico, lo que incluye lo siguiente:

  • Procedimientos continuos de copia de seguridad de Datos personales. Las copias de seguridad se conservan de forma redundante en varias zonas de disponibilidad y se cifran en tránsito y en reposo.
  • Manychat utiliza herramientas especializadas para supervisar el rendimiento del Servicio. La alerta se activa en caso de rendimiento subóptimo del servidor o de sobrecarga de su capacidad.
  • Se cuenta con un plan de recuperación ante desastres para reponerse en caso de problemas con la disponibilidad de los Datos personales.

9. Certificaciones y atestaciones de seguridad.

9.1. Manychat posee las siguientes certificaciones y atestaciones relacionadas con la seguridad:

  • Certificación ISO 27001. La norma de la Organización Internacional de Normalización 27001 (ISO 27001) es una norma de seguridad de la información que permite garantizar la gestión segura de las oficinas, los centros de desarrollo, los centros de asistencia y los centros de datos. Esta certificación tiene una validez de 3 años (auditorías de renovación) y está sujeta a auditorías anuales de puntos de contacto (auditorías de vigilancia).

  • Relatório SOC 2 Type 2. O relatório SOC 2 Type 2, parte do framework de Controle da Organização de Serviço (SOC) do Instituto Americano de Contadores Públicos Certificados (AICPA), avalia a eficácia dos controles de uma organização de serviço ao longo do tempo, focando em segurança, disponibilidade e confidencialidade. O relatório SOC 2 Type 2 examina a eficácia operacional ao longo de um período. Ele fornece garantia sobre a aplicação consistente dos controles, crucial para a confiança de clientes e stakeholders. Este relatório requer renovação anual para manter a conformidade contínua.

10. Gestión de incidentes de seguridad de la información

10.1. Manychat aplica políticas y procedimientos de gestión de incidentes de seguridad que abordan la forma en que gestionamos las Vulneraciones de datos y otros incidentes de seguridad.

10.2. En caso de que se produzca una Vulneración de datos, Manychat investigará sin demora el incidente en cuanto lo descubra. En la medida en que lo permita la legislación aplicable, Manychat notificará al Cliente una Vulneración de datos. Las notificaciones de incidentes de Vulneración de datos se enviarán a los Clientes por correo electrónico o por cualquier otro medio acordado con el Cliente.

ANEXO 3. Disposiciones internacionales y términos específicos de jurisdicción

1. California

Si las Leyes de Protección de Datos Aplicables del Cliente incluyen la Ley de Privacidad del Consumidor de California (“CCPA”, por sus siglas en inglés), se aplicarán las siguientes disposiciones. Los términos “empresa”, “propósito comercial”, “proveedor de servicios”, “vender” y “datos personales” tienen el significado que se les da en la CCPA. Con respecto al Contenido del cliente, Manychat es un proveedor de servicios bajo la CCPA.

Manychat no (i) venderá la Información del Cliente; (ii) retendrá, utilizará ni divulgará la Información del Cliente para ningún otro fin que no sea la exclusiva prestación del Servicio, incluida la retención, el uso o la divulgación del Contenido del cliente para un fin comercial que no sea la prestación del Servicio; ni (iii) retendrá, usará o divulgará el Contenido del cliente fuera de la relación comercial directa entre Manychat y el Cliente.

Las partes reconocen y acuerdan que el Procesamiento del Contenido del cliente autorizado por las instrucciones del Cliente descritas en la Sección 2.4 del DPA forma parte integral y está englobado en la prestación del Servicio por parte de Manychat y en la relación comercial directa entre las partes.

Sin perjuicio de lo dispuesto en el Acuerdo, las partes reconocen y acuerdan que el acceso de Manychat al Contenido del cliente no constituye parte de la contraprestación intercambiada por las partes en relación con el Acuerdo.

A pesar de cualquier restricción de uso contenida en otra parte de esta sección, Manychat puede desidentificar o añadir Contenido del cliente como parte de la prestación del Servicio especificado en este DPA y el Acuerdo.

Cuando los Subprocesadores procesan Datos personales, Manychat toma medidas para garantizar que los Subprocesadores sean Proveedores de Servicios, según la CCPA, con los que Manychat ha firmado un contrato escrito que incluye términos sustancialmente similares a esta sección de “California” o que estén exentos de la definición de “venta” de la CCPA. Manychat aplica la diligencia debida a sus subprocesadores.

Con respecto a la Información de la cuenta del Cliente, Manychat es la empresa responsable de la información y la procesará de acuerdo con su Política de privacidad, que se puede consultar en www.manychat.com/es/legal/privacy.

2. Espacio Económico Europeo, Suiza y el Reino Unido.

Si en las Leyes de Protección de Datos Aplicables del Cliente, se incluye el Reglamento General de Protección de Datos (UE 2016/679) (“RGPD”, por sus siglas en inglés), la Ley Federal Suiza de Protección de Datos (“FADP”, por sus siglas en inglés) o las leyes correspondientes del Reino Unido (incluyendo el RGPD del Reino Unido y la Ley de Protección de Datos de 2018) (“RGPD del Reino Unido”), se aplicarán las siguientes disposiciones.

La transferencia de Datos personales a Manychat en virtud del Acuerdo está regulada por las cláusulas contractuales tipo que se adjuntan a continuación:

  1. Para las transferencias de Datos personales sujetas al RGPD, las partes aplican Cláusulas contractuales tipo (SCC, por sus siglas en ingles) aprobadas en virtud de la Decisión de Ejecución (UE) 2021/914 de la Comisión, del 4 de junio de 2021, publicada en https://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:32021D0914&from=es (“SCC de la UE”):

    • Para el Contenido del cliente: Módulo Dos (Controlador a Procesador) o Módulo Tres (Procesador a Procesador), según el estado del Cliente con respecto al Contenido del cliente.
    • Para la Información de la cuenta del cliente (p. ej., si el Cliente transfiere a Manychat datos de sus Usuarios finales o representantes): Módulo Uno (Controlador a Controlador).

    Para cada módulo de las SCC de la UE, se aplican las siguientes disposiciones, si procede:

    • En la cláusula 7 de las SCC de la UE, no se aplicará la cláusula de acoplamiento opcional.

    • En la cláusula 9 de las SCC de la UE, se aplicará la opción 2 y el plazo para la notificación previa por escrito de los cambios de subprocesador será el establecido en la Sección 3.3 del DPA (Contratación de nuevos subprocesadores).

    • En la cláusula 11 de las SCC de la UE, no se aplicará la parte opcional sobre la presentación de una reclamación ante un organismo independiente de resolución de litigios.

    • En la cláusula 17 (opción 1) de las SCC de la UE se regirán por la legislación de Alemania.

    • En la cláusula 18(b) de las SCC de la UE, los litigios se resolverán ante los tribunales de Alemania.

    • Para el Anexo I, Parte A de las SCC de la UE, la Lista de Partes es la siguiente:

      • Actividades relacionadas con la información transferida en virtud de las SCC de la UE: El importador de datos presta el Servicio al exportador de datos de conformidad con el Acuerdo (Términos del Servicio y Anexo de procesamiento de información).
      • Firma y fecha: las Partes acuerdan que la aceptación de los Términos del Servicio por parte del Cliente, tal y como se especifica en los Términos del Servicio, constituirá la ejecución de las SCC de la UE por ambas partes.
      • Nombre y dirección de los exportadores de información: el Cliente, tal como se define en el DPA, la dirección del Cliente.
      • Nombre, cargo y datos de la persona de contacto: los datos de contacto del exportador de información se especifican en los Términos del Servicio y, de no ser así, están a disposición del importador de datos en la consola de administración del Servicio (cuando el exportador de información los haya facilitado).
      • Cargo: para el Módulo Uno (transferencia de Información de la cuenta del Cliente): controlador; para el Módulo Dos (transferencia de Contenido del cliente): controlador; para el Módulo Tres (transferencia de Contenido del cliente): procesador.
      • Nombre y dirección de los importadores de información: MANYCHAT, INC., 8605 Santa Monica Blvd, PMB 64372, West Hollywood, California 90069-4109.
      • Nombre, cargo y datos de la persona de contacto: Rickert Rechtsanwaltsgesellschaft mbH (Representante en la UE), correo electrónico: art-27-rep-manychat@rickert.law.
      • Cargo: para el Módulo Uno (transferencia de Información de la cuenta del Cliente): controlador; para el Módulo Dos y el Módulo Tres (transferencia de Contenido del cliente): procesador.
      • Para el Anexo I, Parte B de las SCC de la UE, la Descripción de la transferencia se especifica en el Anexo 1A del DPA para el Contenido del cliente y en el Anexo 1B del DPA para la transferencias de Información de la cuenta del cliente.
      • Para el Anexo I, Parte C de las SCC de la UE, el supervisor competente del Cliente se determinará de conformidad con el RGPD y la cláusula 13 de las SCC de la UE.
    • Para el Anexo II de las SCC de la UE, la lista de medidas técnicas y organizativas, incluidas las medidas para garantizar la seguridad de los datos, se especifican en el Anexo 2 del DPA.

    • Para el Anexo III de las SCC de la UE, la lista de subprocesadores (para la transferencia de Contenido del cliente en virtud de los Módulos Dos y Tres) que el Controlador ha autorizado se especifica en www.manychat.com/es/legal/service-providers.

  2. Para las transferencias de Datos personales sujetas a la Ley Federal sobre la Protección de Datos (FADP), las partes aplican las SCC de la UE especificadas anteriormente al Contenido del cliente y la Información de la cuenta del Cliente con las siguientes modificaciones:

    • Las referencias al “Reglamento (UE) 2016/679” se interpretarán como referencias a la FADP.
    • Las referencias a la “Ley de la UE”, a la “Ley de la Unión” y a la “Ley de los Estados miembros” se interpretarán como referencias al derecho suizo.
    • Las referencias a “UE”, “Unión” y “Estado miembro” se interpretarán como referencias a Suiza y, en particular, la cláusula 18 de las SCC de la UE debe interpretarse en el sentido de que faculta a los interesados para ejercer sus derechos en su lugar de residencia habitual en Suiza.
    • Las referencias a la “autoridad de control competente” y a los “tribunales competentes” se sustituirán por “el Comisario Federal Suizo de Protección de Datos e Información” y los “tribunales competentes en Suiza”.
  3. Para las transferencias de Datos personales sujetas al RGPD del Reino Unido, las partes aplican las Cláusulas contractuales tipo de la UE especificadas anteriormente con respecto al Contenido del cliente y la Información de la cuenta del cliente, junto con el anexo sobre transferencia internacional de información a las cláusulas contractuales tipo de la Comisión Europea para las transferencias internacionales de información (Adoptada por la Oficina del Comisario de Información (ICO, por sus siglas en inglés), Versión B1.0, en vigor desde el 21 de marzo de 2022) publicada en https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf como se indica a continuación:

Parte 1: Tablas

Tabla 1: Partes

Fecha de inicio Fecha de entrada en vigor de los Términos de Servicio y del Anexo de procesamiento de información.
Las partes Exportador (quien envía la transferencia restringida) Importador (quien recibe la transferencia restringida)
Datos de las partes Nombre legal completo: MANYCHAT INC.
Nombre comercial (si es diferente): n/a
Dirección principal (si es una dirección registrada de la empresa): 8605 Santa Monica Blvd, PMB 64372, West Hollywood, California 90069-4109
Número de registro oficial (si corresponde) (número de empresa o identificador similar): 81-1410171
Nombre legal completo: Cliente (según lo establecido en los Términos del Servicio)
Nombre comercial (si es diferente):
Dirección principal (si se trata del domicilio social de una empresa): según lo establecido en los Términos del Servicio
Número de registro oficial (si corresponde) (número de empresa o identificador similar):
Contacto clave Nombre completo (opcional): Rickert Rechtsanwaltsgesellschaft m.b.H
Cargo: Representante en la UE
Datos de contacto, incluido el correo electrónico:
art-27-rep-manychat@rickert.law
Nombre completo (opcional):
Cargo: según lo establecido en los Términos del Servicio
Datos de contacto, incluido el correo electrónico: según lo establecido en los Términos del Servicio.
Firma (si es necesaria a efectos de la sección 2)

Tabla 2: SCC elegidas, módulos y cláusulas elegidas

Anexo de las SCC de la UE ☑ La versión de las SCC aprobadas de la UE a la que se adjunta este anexo, que se detalla a continuación, incluida la información del Apéndice:
SCC de la UE, como se especifica en la sección 2A del presente Anexo 3:
- Para el Contenido del cliente (Módulo Dos: Trasferencia de Controlador a Procesador, Módulo Tres: Transferencia de Procesador a Procesador).
- Para Información de la cuenta del cliente (Módulo Uno: Transferencia de Controlador a Controlador).

Tabla 3: Información del apéndice

Información del apéndice” se refiere a la información que debe proporcionarse para los módulos elegidos, según lo establecido en el Apéndice de las SCC aprobadas de la UE (distintas de las Partes), y que para el presente Anexo se establece en los siguientes:

Anexo 1A: Lista de Partes: consulte la sección 2A del presente Anexo 3.
Anexo 1B: Descripción de la transferencia: consulte el Anexo 1 del DPA.
Anexo II: Medidas técnicas y organizativas para garantizar la seguridad de la información: consulte www.manychat.com/es/legal/dpa
Anexo III: Lista de Subprocesadores (solo Módulos 2 y 3): consulte la lista de Subprocesadores en www.manychat.com/es/legal/service-providers.

Tabla 4: Finalización de este Anexo cuando cambie el Anexo aprobado

Finalización de este Anexo cuando cambie el Anexo aprobado Las Partes podrán poner fin al presente Anexo según lo dispuesto en la Sección 19:
☑ Importador
☑ Exportador
☐ cualquiera de las Partes

Cláusulas obligatorias alternativas de la Parte 2:

Cláusulas obligatorias Parte 2: Cláusulas Obligatorias del Anexo Aprobado, siendo la plantilla Anexo B.1.0 emitida por la ICO y presentada ante el Parlamento de conformidad con s119A de la Ley de Protección de Datos 2018 del 2 de febrero de 2022, ya que se revisa en virtud de la Sección 18 de las Cláusulas Obligatorias.

Prueba Manychat gratis

Crear un bot es fácil, divertido y está comprobado que da resultados

¡REGÍSTRATE YA!