Contrato de procesamiento de datos

Vigente a partir del 26. de noviembre de 2025

De acuerdo con los requisitos de la Regulación (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por la que se deroga la Directiva 95/46/CE (en adelante, denominada "RGPD"), así como con las leyes en materia de protección de datos vigentes en el Reino Unido de Gran Bretaña e Irlanda del Norte, ESET (en adelante el "Procesador") y el Cliente (en adelante, el "Controlador") entablan una relación contractual de procesamiento de datos para definir los términos y condiciones del procesamiento de datos personales, la forma de su protección y para definir otros derechos y obligaciones de ambas partes en relación con el procesamiento de datos personales de los interesados en nombre del Controlador durante la ejecución del objeto de los Términos como contrato principal.

1. Datos personales. Para prestar los Servicios de conformidad con los Términos, puede resultar necesario que el Procesador procese información relativa a una persona física identificada o identificable (en adelante, "Datos personales") en nombre del Controlador.
2. Autorización. El Controlador autoriza al Procesador a procesar datos personales, lo cual incluye lo siguiente:
   1. "Propósito del procesamiento" hará referencia a la prestación de los Servicios solicitados, según se definen en los Anexos, de conformidad con los Términos.
   2. "Período de procesamiento" hará referencia al período durante el cual se prestarán los Servicios.
   3. El "alcance y categorías de Datos personales" incluye todo Dato personal proporcionado o puesto a disposición por el Controlador durante la prestación de los Servicios, en particular, cualquier Dato personal presentado en las solicitudes de Servicio o durante el proceso de tramitación de cualquier solicitud de Servicio, o bien todo Dato personal que pueda ser accesible o estar disponible para el Procesador en caso de que el Controlador concediera acceso temporal o permanente a sus Productos o dispositivos en el transcurso de la prestación de los Servicios.
   4. "Interesado" hace referencia a cualquier persona física que sea usuario autorizado de los dispositivos del Controlador o bien empleado o contratista del Controlador y, en su caso, de sus entidades afiliadas, así como cualquier persona cuyos datos puedan ser brindados o puestos a disposición por el Controlador al Procesador en el transcurso de la prestación de los Servicios.
   5. "Operaciones de procesamiento" hace referencia a toda operación necesaria a los efectos del procesamiento.
   6. "Instrucciones documentadas" hace referencia a las instrucciones para el procesamiento de Datos personales descritas en los Términos, sus Anexos, la documentación del Servicio o las solicitudes de prestación del Servicio.
3. Obligaciones del Procesador. El Procesador tiene las siguientes obligaciones:
   1. Procesar los Datos personales con el fin de prestar los Servicios de conformidad con los Términos y únicamente a partir de fundamentos de Instrucciones documentadas, incluso con respecto a las transferencias de Datos personales a un tercer país, a menos que así lo exija la ley de la UE o de los Estados miembros o la ley del Reino Unido; en tales casos, el Procesador informará al Controlador dicho requisito legal antes del procesamiento, a menos que esa ley prohíba dicha información por motivos importantes de interés público.
   2. Indicar a las personas autorizadas para procesar los Datos personales (en lo sucesivo, "Personas autorizadas") sus derechos y deberes de conformidad con la GDPR, su responsabilidad en caso de incumplimiento de los deberes y garantizar que las Personas autorizadas para procesar los Datos personales se hayan comprometido a guardar la confidencialidad y a acatar las instrucciones documentadas.
   3. Tomar todas las medidas relacionadas con la seguridad del procesamiento según lo dispuesto en el Artículo 32 de la GDPR, teniendo en cuenta el estado de la técnica, los costos de implementación y la naturaleza, el alcance, el contexto y los fines del procesamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y las libertades de las personas físicas, a fin de garantizar un nivel de seguridad al procesar los Datos personales del Controlador que resulte adecuado para el riesgo.
   4. Teniendo en cuenta la naturaleza del procesamiento, ayudar al Controlador mediante medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de la obligación del Controlador de responder a las solicitudes de ejercicio de los derechos del Interesado establecidos en el Capítulo III de la GDPR.
   5. Cuando se solicite, proporcionar asistencia razonable al Controlador para garantizar el cumplimiento de las obligaciones de conformidad con los Artículos 32 a 36 de la GDPR, teniendo en cuenta la naturaleza del procesamiento y la información disponible para el Procesador. El Procesador notificará al Controlador toda infracción del procesamiento de datos personales o de la seguridad de los datos personales inmediatamente después de su descubrimiento. El Procesador cooperará en la medida de lo razonable en la investigación y la corrección de dicha infracción y adoptará medidas razonables para limitar las consecuencias negativas ulteriores.
   6. A elección del Controlador, eliminar o devolver todos los Datos personales procesados en nombre del Controlador en un plazo de 30 (treinta) días hábiles después de la finalización de la prestación de los Servicios relativos al procesamiento y eliminar las copias existentes, a menos que la legislación de la UE o de los Estados miembros de la UE exijan la conservación de dichos Datos personales. El Controlador se compromete a informar al Procesador su decisión en un plazo de diez (10) días después de la finalización del Período de procesamiento. Esta disposición no afectará al derecho del Procesador a conservar los Datos personales en la medida necesaria para fines de archivo en términos de la legislación especial o para el establecimiento, el ejercicio o la defensa de reclamos legales.
   7. Mantener un registro actualizado de todas las categorías de las actividades de procesamiento que ha realizado en representación del Controlador.
   8. Poner a disposición del Controlador toda la información necesaria para demostrar el cumplimiento como parte de los Términos, sus Anexos y la documentación de los Servicios y, si resultara estrictamente necesario, permitir la realización de auditorías por parte del Controlador o de otro auditor encargado por el Controlador en relación con el procesamiento realizado en el ámbito del presente Acuerdo. En caso de auditoría o control del procesamiento de Datos personales por parte del Controlador, este estará obligado a informar al Procesador por escrito al menos diez (10) días antes de la auditoría o control previstos.
4. Contratación de otro Procesador. En general, el Procesador tiene derecho a contratar a otro Procesador (en adelante, "Subprocesador") para que lleve a cabo actividades de procesamiento específicas de conformidad con los Términos, principalmente, el presente Acuerdo y la documentación de los Servicios. El Procesador se asegurará de que dicho Subprocesador esté sujeto a las mismas obligaciones que se establecen en este Acuerdo. Incluso en este caso, el Procesador seguirá siendo plenamente responsable ante el Controlador del procesamiento de los Datos personales por parte del Subprocesador. A los efectos de la prestación de los Servicios, el Procesador contrata al Distribuidor como Subprocesador. El Procesador está obligado a informar al Controlador todo cambio previsto en relación con la adición o la sustitución de otros Subprocesadores y, de este modo, brindará al Controlador la oportunidad de oponerse a dichos cambios. Toda objeción a un nuevo Subprocesador deberá recibirse en el plazo de siete (7) días hábiles después de la notificación; de lo contrario, el nuevo Subprocesador se considerará aceptado por el Controlador. Si el Controlador se opone de forma justificada a un nuevo Subprocesador y la objeción no puede resolverse satisfactoriamente en un plazo razonable, el Controlador podrá rescindir el presente Acuerdo sin sanción alguna mediante aviso por escrito al Procesador con 30 (treinta) días de anticipación. Si la objeción del Controlador sigue sin resolverse 30 (treinta) días después de haberse planteado y no se ha recibido un aviso de rescisión, se considerará que el Controlador acepta al nuevo Subprocesador.
5. Ámbito de procesamiento. El Procesador garantiza que el procesamiento se llevará a cabo en el Espacio Económico Europeo o en un país designado como seguro por la Comisión Europea, en función de la decisión del Controlador. Cláusulas contractuales estándar (disponibles aquí: Las Cláusulas contractuales estándar | Servicios de ESET | Ayuda en línea de ESET ) se aplicarán en el caso de que se produzcan transferencias y actividades de procesamiento de Datos personales fuera del Espacio Económico Europeo o de un país designado como seguro por decisión de la Comisión Europea.
6. Seguridad. El Procesador posee la certificación de la norma ISO 27001 y adopta el marco de la norma ISO 27001 con el fin de implementar una estrategia de seguridad basada en la defensa en capas, al momento de aplicar los controles de seguridad en la capa de la red, los sistemas operativos, las bases de datos, las aplicaciones, y los procesos operativos y de personal. El cumplimiento de los requisitos contractuales y regulatorios se evalúa y se revisa de manera periódica, al igual que otras infraestructuras y otros procesos del Procesador. Además, se toman las medidas necesarias para garantizar el cumplimiento continuo. El Procesador ha organizado la seguridad de los datos a través del Sistema de Gestión de la Seguridad de la Información (ISMS), en función de la norma ISO 27001. La documentación sobre seguridad incluye principalmente políticas sobre seguridad de la información, protección física y seguridad del equipamiento, gestión de incidentes, gestión de pérdida de datos e incidentes de seguridad, etc.
7. Medidas técnicas y organizativas. El Procesador protegerá los Datos personales de daños y destrucción fortuitos e ilícitos, pérdida fortuita, cambios, acceso no autorizado y divulgación. En tal sentido, el Procesador adoptará las medidas técnicas y organizativas adecuadas al modo de procesamiento y al riesgo que presente el procesamiento para los derechos de los Interesados, de conformidad con los requisitos de la GDPR. Una descripción detallada de las medidas técnicas y organizativas se indica en la documentación de seguridad relacionada al Producto específico.
8. Información de contacto del Procesador. Todas las notificaciones, las solicitudes, los pedidos y otras comunicaciones relativas a la protección de los datos personales deben dirigirse a ESET, spol. s.r.o., con los siguientes datos: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.