ANEXO n.o 3. de los Términos de uso: Contrato de procesamiento de datos

Vigente a partir del 26. de noviembre de 2025

Este Contrato de procesamiento de datos se aplica entre Usted y ESET siempre que procese datos personales como controlador de datos mediante el uso de los Servicios de ESET proporcionados en virtud de los Términos, y ESET procese dichos datos personales en su nombre como procesador de datos.

De acuerdo con los requisitos de la Regulación (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016 sobre la protección de las personas físicas en lo que respecta al procesamiento y a la libre circulación de datos personales, la cual deroga la Directiva 95/46/CE ("RGPD"), ESET ("Procesador") y Usted ("Controlador") celebran este contrato de procesamiento de datos con el objetivo de definir los términos y las condiciones del procesamiento de datos personales y el modo de protegerlos, así como también para definir otros derechos y obligaciones de ambas partes en relación con el procesamiento de los datos personales de los interesados en representación del Controlador, en el marco del cumplimiento del objeto de estos Términos como contrato principal.

1. Procesamiento de datos personales. Entre los servicios provistos en cumplimiento de estos Términos, se incluyen el procesamiento de información relacionada con una persona física identificada o identificable en nombre del Controlador, según se especifica en la Política de privacidad ("Datos personales").

2. Autorización. El Controlador autoriza al Procesador a procesar datos personales, lo cual incluye lo siguiente:

(i) "Propósito del procesamiento" significa la provisión de servicios de conformidad con estos Términos y con esta documentación. El Procesador solo puede procesar los Datos personales en nombre del Controlador en relación con la prestación de servicios solicitada por el Controlador. Toda la información recopilada con fines adicionales se procesa fuera de la relación contractual Controlador-Procesador.

(ii) "Período de procesamiento" significa el plazo comprendido entre el inicio de la cooperación conforme a estos Términos y la finalización de los servicios.

(iii) "Alcance y Categorías de Datos personales" hace referencia a todos los Datos personales proporcionados o puestos a disposición por el Controlador durante la prestación de los Servicios. Los Servicios están previstos solo para el procesamiento de datos personales generales. Sin embargo, el Controlador es el único responsable de la determinación del alcance de los datos personales.

(iv) "Interesado" significa una persona física que actúa como usuario autorizado de los dispositivos del Controlador para los que se proporcionan los servicios.

(v) "operaciones de procesamiento" significa todas y cada una de las operaciones necesarias a los efectos del procesamiento;

(iv) "Instrucciones documentadas" significa las instrucciones descritas en estos Términos, los Anexos, la Política de privacidad y la documentación. El Controlador será responsable de la admisibilidad legal de procesamiento de los Datos personales por parte del Procesador en relación con las correspondientes disposiciones aplicables de la ley de protección de datos.

3. Obligaciones del Procesador. El Procesador tiene las siguientes obligaciones:

(i) procesar los Datos personales únicamente en función de las Instrucciones documentadas y de conformidad con el Objeto del procesamiento;

(ii) indicar a las personas autorizadas para procesar los Datos personales ("Personas autorizadas") sus derechos y deberes de conformidad con el RGPD, su responsabilidad en caso de incumplimiento de los deberes y garantizar que las Personas autorizadas se hayan comprometido a guardar la confidencialidad y a acatar las Instrucciones documentadas,

(iii) tomar todas las medidas relacionadas con la seguridad del procesamiento según lo dispuesto en el Artículo 32 del RGPD, teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento, así como el riesgo de probabilidad y la gravedad variables para los derechos y las libertades de las personas físicas, a fin de garantizar un cierto nivel de seguridad al momento de procesar los Datos personales del Controlador que resulte adecuado para el riesgo,

(iv) a partir de considerar la naturaleza del procesamiento, ayudar al Controlador a responder las solicitudes de los Interesados en relación con sus derechos. El Procesador no corregirá, eliminará ni restringirá el procesamiento de los Datos personales sin las instrucciones del Controlador; Todas las solicitudes del Interesado en relación con los Datos personales procesados en nombre del Controlador se enviarán a este sin demora;

(v) ayudar al Controlador en la notificación de una filtración de Datos personales a la autoridad supervisora y al Interesado; El Procesador notificará al Controlador toda infracción del procesamiento de datos personales o de la seguridad de los datos personales inmediatamente después de su descubrimiento. El Procesador cooperará en la medida de lo razonable en la investigación y la corrección de dicha infracción y adoptará medidas razonables para limitar las consecuencias negativas ulteriores.

(vi) a discreción del Controlador, eliminar o devolver todos los Datos personales al Controlador una vez que finalice el Periodo de procesamiento. El Controlador se compromete a informar al Procesador su decisión en un plazo de diez (10) días después de la finalización del Período de procesamiento. Esta disposición no afectará al derecho del Procesador a conservar los Datos personales en la medida necesaria para fines de archivo por motivos de interés público, investigación científica, estadísticas o el establecimiento, el ejercicio o la defensa de reclamos legales.

(vii) mantener un registro actualizado de todas las categorías de las actividades de procesamiento que ha realizado en representación del Controlador;

(viii) presentar toda la información necesaria para demostrar el cumplimiento como parte de los Términos, sus Anexos, la Política de privacidad y la documentación a disposición del Controlador. En caso de auditoría o control del procesamiento de Datos personales por parte del Controlador, este estará obligado a informar al Procesador por escrito al menos diez (30) días antes de la auditoría o control previstos.

4. Contratación de otro Procesador. El Procesador tiene derecho a contratar a otro procesador para que realice actividades de procesamiento específicas, como la provisión de almacenamiento e infraestructura en la nube para el servicio, de conformidad con los Términos, sus Anexos, la Política de privacidad y la documentación de servicio. Incluso en este caso, el Procesador seguirá siendo el único punto de contacto y el responsable del cumplimiento. El Procesador se compromete a informar al Controlador toda adición o sustitución de otro Procesador a los efectos de la posibilidad de oposición a dicho cambio. Los subprocesadores actualmente contratados se especifican en la Política de privacidad del Procesador.

5. Ámbito de procesamiento. El Procesador garantiza que el procesamiento se llevará a cabo en el Espacio Económico Europeo o en un país designado como seguro por la Comisión Europea, en función de la decisión del Controlador. Las Disposiciones contractuales estándar se aplicarán en el caso de que se produzcan transferencias y actividades de procesamiento fuera del Espacio Económico Europeo o de un país designado como seguro por la Comisión Europea, a solicitud del Controlador.

6. Seguridad. El Procesador posee la certificación de la norma ISO 27001 y adopta el marco de la norma ISO 27001 con el fin de implementar una estrategia de seguridad basada en la defensa en capas, al momento de aplicar los controles de seguridad en la capa de la red, los sistemas operativos, las bases de datos, las aplicaciones, y los procesos operativos y de personal. El cumplimiento de los requisitos contractuales y regulatorios se evalúa y se revisa de manera periódica, al igual que otras infraestructuras y otros operaciones del Procesador. Además, se toman las medidas necesarias para garantizar el cumplimiento continuo. El Procesador ha organizado la seguridad de los datos con el Sistema de Gestión de la Seguridad de la Información (SGSI), en función de la norma ISO 27001. La documentación sobre seguridad incluye, principalmente, políticas sobre seguridad de la información, protección física y seguridad del equipamiento, gestión de incidentes, gestión de pérdida de datos e incidentes de seguridad, etc.

7. Medidas técnicas y organizativas. El Procesador protegerá los Datos personales de daños y destrucción fortuitos e ilícitos, pérdida fortuita, cambios, acceso no autorizado y divulgación. En tal sentido, el Procesador adoptará las medidas técnicas y organizativas adecuadas al modo de procesamiento y al riesgo que presente el procesamiento para los derechos de los Interesados, de conformidad con los requisitos de la GDPR. En la Política de seguridad, se incluye una descripción detallada de las medidas técnicas y organizativas.

8. Información de contacto del Procesador. Todas las notificaciones, las solicitudes, los pedidos y otras comunicaciones relativas a la protección de los datos personales deben dirigirse a ESET, spol. s.r.o., con los siguientes datos: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.