Acuerdo de tratamiento de datos personales de Sage

(Abril de 2025)

Este Acuerdo de Tratamiento de Datos Personales con sus Anexos ("DPA") forma parte del acuerdo entre Sage y el Cliente para la provisión de los productos de software de Sage o la prestación de los servicios de aplicaciones de software desarrolladas en la nube al Cliente ("Servicios") (el "Acuerdo").

En caso de conflicto entre los términos de este DPA y cualquier otra parte del Acuerdo, se aplicará el siguiente orden de precedencia: (1) cualquier Mecanismo de Transferencia aplicable al Acuerdo; (2) este DPA; y (3) cualquier otra parte del Acuerdo.

1. DEFINICIONES

   Los términos en mayúsculas utilizados en este DPA que no estén definidos en este documento tendrán el significado definido en las Leyes de Protección de Datos pertinentes, y en el Anexo 3 se puede encontrar una lista de términos equivalentes en las Leyes de Protección de Datos. Los demás términos en mayúsculas de este DPA tendrán el significado definido a continuación.

   "Decisión de Adecuación": una conclusión de la Comisión Europea, o de un gobierno u organismo autorizado para determinar, de conformidad con las Leyes de Protección de Datos, que un país receptor garantiza un nivel adecuado de protección de los Datos Personales, de modo que no es necesario implementar medidas o mecanismos adicionales en virtud de las Leyes de Protección de Datos en relación con una Transferencia a un País No Adecuado.

   "Filial": una entidad que directa o indirectamente controla, o es controlada por, o bajo control común con, la entidad en cuestión. A los efectos de esta definición, se entiende por "control" la propiedad o el control (ya sea directa o indirectamente) de al menos el 50% de los derechos de voto de la entidad, o de otro modo el poder de dirigir la gestión y las políticas de la entidad.

   "Cliente": la entidad del Cliente que ha celebrado el Acuerdo y, en su caso, cualquier Afiliado del Cliente.

    "Leyes de protección de datos": cualquier ley, norma y reglamento local, nacional o internacional aplicable relacionado con la privacidad, la seguridad, la protección de datos y/o el tratamiento de datos personales, según se modifique, reemplace o sustituya en el tiempo. Dependiendo de dónde se encuentre el Cliente, esto puede incluir, entre otros: (a) el Reglamento General de Protección de Datos (UE) n°2016/679 ("RGPD"); Leyesde protección de datos de los estados miembros de la Unión Europea ("UE") ; y la Directiva n°2002/58/CE sobre la privacidad y las comunicaciones electrónicas, relativa a la protección de la intimidad en el sector de las comunicaciones electrónicas ; (b) la Ley de Protección de Datos del Reino Unido de 2018 (y las regulaciones elaboradas en virtud de la misma) y el RGPD del Reino Unido; y el Reglamento de 2003 sobre Privacidad y Comunicaciones Electrónicas (Directiva de la CE); (c) la Ley de Privacidad del Consumidor de California de 2018 ("CCPA"); la Ley de Derechos de Privacidad de California de 2020 ("CPRA"); (d) la Ley de Protección de Información Personal y Documentos Electrónicos de Canadá (PIPEDA); (e) la Ley Federal Suiza de Protección de Datos; (f) la Ley de Protección de la Información Personal de Sudáfrica (POPIA); y (g) la Ley de Privacidad de Australia de 1988.

   "Interesado": una persona física identificada o identificable directa o indirectamente, en particular mediante un identificador, como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o más elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de esa persona física.

   "Información anonimizada": información que no se puede utilizar razonablemente para asociar o vincular a un Interesado en particular.

   "País no adecuado": un país que no está cubierto por una Decisión de Adecuación.

   "Partes": las partes de este DPA, concretamente (i) Sage y (ii) el Cliente, cada una de las cuales es una "Parte".

   "Datos personales": información relativa a una persona física que se incluye en los datos proporcionados, introducidos o enviados por el Cliente, o uno de los Afiliados del Cliente, Usuarios u otros en nombre del Cliente, en los Servicios prestados en virtud del Acuerdo, o compartida con Sage por cualquier medio en relación con los Servicios y el Acuerdo.

   "Transferencia a un País No Adecuado": una transferencia de Datos Personales a un País No Adecuado.

   "Mecanismo de Transferencia": el módulo pertinente de las cláusulas contractuales estándar para una Transferencia a un País no Adecuado de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, implementado a través de la Decisión de Ejecución (UE) 2021/914 de la Comisión, de 4 de junio de 2021 ("SCC"), adaptado para cualquier jurisdicción en la medida en que lo permitan las Leyes de Protección de Datos, o un mecanismo similar con respecto a cualquier otra jurisdicción,  como el Apéndice del Reino Unido o el Acuerdo de Transferencia Internacional de Datos del Reino Unido emitida por la ICO de conformidad con el artículo 119A de la Ley de Protección de Datos de 2018.

   "Sage": la entidad Sage que ha suscrito el Acuerdo.

   "Datos personales sensibles": cualquier dato personal al que se le otorgue un mayor nivel de protección en virtud de las leyes de protección de datos.

   "Subencargado": otra parte contratada por un Encargado para ayudar con el Tratamiento de Datos Personales en nombre de un responsable.

   "Usuario": una persona que está autorizada a utilizar los Servicios (por ejemplo, personas a las que el Cliente ha proporcionado una identificación de usuario y una contraseña, o Sage a petición del Cliente). Los usuarios pueden incluir empleados, consultores, contratistas, agentes u otros terceros del Cliente.

    

2. ROLES EN EL TRATAMIENTO DE DATOS
   • 2.1.A excepción de lo establecido en el Anexo 1 (Finalidad(es) del Tratamiento, parte (b)), las Partes acuerdan que, cuando las Leyes de Protección de Datos se apliquen al Tratamiento de Datos Personales, el Cliente es el responsable del Tratamiento, y Sage es el Encargado del Tratamiento (que se describe con más detalle en el Anexo 1) y Sage actuará de acuerdo con las instrucciones documentadas del Cliente y de acuerdo con las Leyes de Protección de Datos al llevar a cabo dicho Tratamiento.
   • 2.2.En los casos en los que el propio Cliente actúe como Encargado del tratamiento en virtud de las Leyes de Protección de Datos en el Tratamiento de Datos Personales descrito en el Anexo 1 en nombre de sus propios clientes u otras partes, Sage será el Subencargado del Cliente, y las obligaciones de este DPA se aplicarán a Sage como Subencargado del Tratamiento.
     
     
3. OBLIGACIONES DEL CLIENTE
   • 3.1.El Cliente deberá cumplir con la Legislación de Protección de Datos y se asegurará de que cualquiera de los Afiliados del Cliente, Usuarios, otros contactos del Cliente u otros terceros que puedan utilizar los Servicios, cumplan con la Legislación de Protección de Datos en el Tratamiento de Datos Personales antes de compartirlos, en relación con la prestación de Servicios de Sage al Cliente.
   • 3.2.El Cliente garantiza de forma continua que:
     • 3.2.1.tiene una base legal adecuada en virtud de las Leyes de Protección de Datos para compartir Datos personales con Sage en relación con la prestación de los Servicios; y
     • 3.2.2.cuando actúe como Encargado en virtud de las Leyes de Protección de Datos, el responsable ha autorizado: (i) las instrucciones de Tratamiento de Datos Personales del Cliente a Sage (según lo establecido en este DPA); (ii) la identificación de Sage como Subencargado del Tratamiento por parte del Cliente; y (iii) el uso por parte de Sage de otros Subencargados, tal como se describe en la cláusula 4.9 (Uso de Subencargados).
   • 3.3.Además, el Cliente se compromete a:
     • 3.3.1.cuando sea necesario, y según lo exijan las Leyes de Protección de Datos, proporcionar información suficiente a los Interesados sobre el Tratamiento de sus Datos Personales, o procurar la misma, para: (i) que el Cliente comparta los Datos Personales con Sage para la prestación de los Servicios; y (ii) Sage para tratar los Datos personales para los fines establecidos en el Acuerdo y de acuerdo con las Leyes de Protección de Datos;
     • 3.3.2.no provocar que Sage infrinja las Leyes de Protección de Datos o viole los derechos de cualquier Interesado; y
     • 3.3.3.proporcionar asistencia razonable a Sage en el cumplimiento de las obligaciones de Sage en virtud de las Leyes de Protección de Datos, incluida la introducción de cualquier modificación o adición a este DPA que pueda ser necesaria para reflejar cualquier cambio en las actividades de Tratamiento de Datos Personales del Cliente o de Sage, o de otro modo según lo exijan las Leyes de Protección de Datos.
       
       
4. OBLIGACIONES DE SAGE

   INSTRUCCIONES

   • 4.1.Al celebrar el Acuerdo, en el que Sage actúa como Encargado o Subencargado, el Cliente le da instrucciones a Sage para que trate Datos personales para proporcionar los Servicios y cualquier soporte relacionado al Cliente. Las actividades de Tratamiento de datos personales de Sage para estos fines se describen con más detalle en el Anexo 1. Además, el Cliente da instrucciones a Sage para que cumpla con sus obligaciones en materia de Tratamiento de Datos Personales como Encargado o Subencargado del Tratamiento, tal y como se establece en el resto de este DPA.
   • 4.2.Sage notificará al Cliente cualquier requisito legal que pueda impedir que Sage cumpla con las instrucciones del Cliente establecidas en este DPA, a menos que el requisito legal lo prohíba.
   • 4.3.Sage informará al Cliente sin demora si, en su opinión, las instrucciones dadas por el Cliente infringen las Leyes de Protección de Datos.
   • 4.4.Sage notificará de inmediato al Cliente si determina que ya no puede cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos o de este DPA.
   • 4.5.Sage cumplirá con las Leyes de Protección de Datos mientras dichos Datos Personales estén bajo su control.
   • 4.6.Cuando se aplica la CCPA (modificada por la CPRA): 
     • 4.6.1.Si Sage recibe Información Anonimizada del Cliente, Sage (a) tomará medidas razonables para garantizar que la Información Anonimizada no pueda asociarse con un Interesado o una pareja, (b) se comprometerá públicamente a mantener y utilizar la Información Anonimizada en forma anonimizada, y (c) no intentará volver a identificar la Información Anonimizada, excepto con la única finalidad de determinar si nuestros procesos de desidentificación cumplen con los requisitos de las Leyes de Protección de Datos aplicables.
     • 4.6.2.Cuando Sage actúe como Proveedor de Servicios, no combinará Datos Personales con Datos Personales que recibamos de o en nombre de otra persona o entidad, ni recopilará de nuestras propias interacciones con un Interesado, excepto para realizar una finalidad comercial tal como se define en las Leyes de Protección de Datos aplicables.
     • 4.6.3.Sage no compartirá, venderá, alquilará, divulgará, difundirá, pondrá a disposición, transferirá ni comunicará de otro modo oralmente, por escrito o por medios electrónicos o de otro tipo, Datos personales a otra persona o entidad a cambio de: (i) contraprestación monetaria u otra contraprestación valiosa; o (ii) publicidad comportamental contextual en beneficio de una empresa en la que no se intercambia dinero.
     • 4.6.4.El Cliente tendrá derecho, previa notificación, a detener y remediar cualquier Tratamiento no autorizado de Datos Personales.

   SEGURIDAD

   • 4.7.Sage implementará en todo momento las medidas técnicas y organizativas adecuadas para evitar cualquier Tratamiento no autorizado o ilegal, o cualquier pérdida o destrucción accidental de Datos personales, teniendo en cuenta el estado de la técnica, los costes de implementación, la naturaleza del Tratamiento de Datos personales pertinente y el riesgo para los derechos y libertades de los Interesados. Dichas medidas de seguridad pueden incluir: 
     • 4.7.1.la seudonimización o el cifrado de los Datos Personales;
     • 4.7.2.la capacidad de restaurar oportunamente la disponibilidad y el acceso a los Datos personales en caso de incidente;
     • 4.7.3.la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continua de los sistemas de Tratamiento; y
     • 4.7.4.disponer de un proceso para probar, analizar y evaluar regularmente la eficacia de las medidas técnicas y organizativas. Puede encontrar más detalles aquí: https://www.sage.com/es-es/confianza-seguridad/
   • 4.8.Sage deberá: 
     • 4.8.1.tomar medidas razonables para garantizar la confiabilidad de cualquier personal que pueda tener acceso a los Datos personales;
     • 4.8.2.garantizar que el acceso, si lo hubiera, a los Datos Personales esté estrictamente limitado a aquellas personas que necesiten conocer y/o acceder a los Datos Personales para los fines establecidos en el Acuerdo; y
     • 4.8.3.asegurarse de que el personal autorizado para tratar los datos personales se haya comprometido a la confidencialidad o esté sujeto a una obligación legal adecuada de confidencialidad.

   USO DE SUBENCARGADOS

   • 4.9.El Cliente autoriza con carácter general el uso de Subencargados por parte de Sage y la lista de criterios de Sage utilizada para seleccionar y designar un Subencargado, que es la siguiente: 
     • 4.9.1.Sage llevará a cabo la debida diligencia razonable sobre la privacidad de los datos y las medidas de seguridad de los Subencargados propuestos antes de proporcionarles acceso a los Datos personales;
     • 4.9.2.Sage llevará a cabo evaluaciones de impacto de la protección de datos antes de designar a un Subencargado del tratamiento cuando sea probable que cualquier Tratamiento de Datos personales por parte de un Subencargado conlleve un alto riesgo para los derechos y libertades de los Interesados;
     • 4.9.3.tal y como exigen las Leyes de Protección de Datos, Sage se asegurará de establecer un contrato con cualquier Subencargado del tratamiento designado, que imponga al Subencargado esencialmente, las mismas obligaciones de protección de datos que se imponen a Sage en este DPA; y
     • 4.9.4.Sage mantendrá bajo supervisión sus relaciones con los Subencargados del tratamiento y tomará las medidas adicionales que puedan ser necesarias en virtud de las Leyes de Protección de Datos o en relación con cualquier cambio en las actividades de Tratamiento de Datos Personales del Cliente o de Sage.
   • 4.10. Sage seguirá siendo plenamente responsable ante el Cliente del cumplimiento de las obligaciones del Subencargado en virtud del contrato del Subencargado con Sage.
   • 4.11.Aquí encontrará una lista de los Subencargados de Sage. Debido a que Sage es una organización internacional, las Filiales de Sage pueden estar involucradas en el Tratamiento de Datos Personales, en particular con fines de soporte. Cuando esto ocurre, las Filiales de Sage actúan como Subencargados del tratamiento y los acuerdos de Tratamiento de datos intragrupo rigen el Tratamiento de Datos personales. Póngase en contacto con Sage si necesita información sobre los Subencargados de un servicio que no está incluido en la lista del enlace anterior.
   • 4.12.Si Sage desea realizar algún cambio en los Subencargados, Sage actualizará la lista e informará al Cliente cuando consideremos que esto tenga un efecto material en los Servicios prestados al Cliente, tal como lo exigen las Leyes de Protección de Datos aplicables y como se describe en los términos específicos de la región, y el Cliente puede oponerse razonablemente dentro de los treinta (30) días a dichos cambios.  

   TRANSFERENCIAS INTERNACIONALES

   • 4.13.El Cliente reconoce y acepta que la prestación de los Servicios puede implicar el Tratamiento de Datos Personales por parte de Sage o sus Subencargados en países distintos del país en el que se encuentran el Cliente, las Filiales del Cliente o los Usuarios, concernidos por los términos de este DPA.
   • 4.14. Sage cumplirá con las Leyes de Protección de Datos al llevar a cabo cualquier transferencia internacional de Datos Personales. Dependiendo de la transferencia y de la región en la que se encuentren el Cliente, las Filiales del Cliente o los Usuarios, se aplicarán disposiciones específicas sobre transferencias internacionales que pueden incluir, cuando corresponda, los acuerdos de Tratamiento de datos intragrupo de Sage o cualquier otra Documentación de Transferencia Restringida.
   • 4.15.El Cliente acepta que Sage pueda transferir Datos Personales entre Filiales de Sage en los términos de sus acuerdos de Tratamiento de datos intragrupo, que incorporan mecanismos de transferencia de datos adecuados.
   • 4.16. En el caso de que sea necesaria una Transferencia restringida entre el Cliente y una Filial de Sage, ya que no se aplica ningún otro mecanismo de transferencia válido a dicha transferencia, la transferencia no se realizará hasta que el Cliente y la Filial de Sage correspondiente hayan celebrado un acuerdo contractual que incorpore las SCC de la UE (módulo Responsable-Responsable, módulo Responsable-Encargado y/o módulo Encargado-Encargado, que convenga) atendiendo a las funciones respectivas de cada parte como Responsable o Encargado, cuyos detalles se presentan en el Anexo 2.

   BRECHA DE DATOS PERSONALES

   • 4.17.En el caso de una brecha de datos personales, Sage notificará al cliente sin demora indebida y tomará las medidas que Sage considere razonablemente necesarias y posibles para contener y mitigar los efectos de dicha brecha de datos personales (sujeto a las instrucciones del cliente al respecto).
   • 4.18.La notificación a que se refiere la cláusula 4.17 anterior deberá, como mínimo: 
     • 4.18.1. describir la naturaleza de la brecha de datos personales, incluidas, cuando sea posible, las categorías y el número aproximado de interesados afectados y las categorías y el número aproximado de registros de datos personales afectados;
     • 4.18.2.comunicar el nombre y los datos de contacto del delegado de protección de datos u otra persona de contacto en el que se pueda obtener más información;
     • 4.18.3.describir las consecuencias probables de la brecha de datos personales; y
     • 4.18.4.describir las medidas adoptadas o propuestas por el responsable del tratamiento para hacer frente a la brecha de seguridad de los datos personales, incluidas, en su caso, las medidas para mitigar sus posibles efectos adversos. En los casos y en la medida en que no sea posible facilitar la información al mismo tiempo, la información podrá facilitarse por fases sin más demoras indebidas.

   AUDITORÍA

   • 4.19.Sujeto a las disposiciones de auditoría del Acuerdo, Sage proporcionará al Cliente la información razonablemente necesaria para demostrar el cumplimiento de este DPA por parte de Sage o permitir que el Cliente lleve a cabo una auditoría del Tratamiento de los Datos personales relevantes por parte de Sage, a cargo exclusivo del Cliente.
   • 4.20.La frecuencia de las inspecciones establecida en la cláusula 4.19 anterior no será más de una vez al año y el alcance de la auditoría se acordará al menos 30 días antes de la fecha de la auditoría. Esto se entiende sin perjuicio del derecho del Cliente a llevar a cabo inspecciones adicionales de forma “ad hoc” en caso de incumplimiento de las obligaciones de protección de datos por parte de Sage o de sus Subencargados.

   OTROS

   • 4.21.Sage notificará al Cliente sin demora indebida en relación con cualquier comunicación de un Interesado, una Autoridad de Control u otro organismo en relación con los Datos personales.
   • 4.22. Teniendo en cuenta la naturaleza del Tratamiento, Sage deberá: 
     • 4.22.1.ayudar al Cliente con las medidas técnicas y organizativas adecuadas, en la medida de lo posible, a cumplir las obligaciones que el Cliente tenga en virtud de las Leyes de Protección de Datos para responder a las solicitudes de las personas para ejercer sus derechos; y
     • 4.22.2.proporcionar al Cliente asistencia razonable para cumplir con cualquier obligación que tenga en virtud de las Leyes de Protección de Datos en relación con: (i) garantizar la seguridad de los Datos Personales; (ii) notificaciones de violaciones de datos personales a las Autoridades de Control; (iii) consultas previas con las Autoridades de Control; (iv) la comunicación de cualquiera de las violaciones de datos personales a los Interesados; y (v) evaluaciones de impacto en materia de protección de datos.
   • 4.23. Cuando Sage actúe como Encargado o Subencargado en nombre del Cliente, al final de la prestación de los Servicios por parte de Sage, Sage, a elección del Cliente, eliminará o devolverá al Cliente todos los Datos personales tratados por Sage en nombre del Cliente y eliminará las copias existentes, a menos que las Leyes de protección de datos requieran el almacenamiento de los Datos personales.

Anexo 1 – DESCRIPCIÓN DEL TRATAMIENTO DE DATOS PERSONALES

Categorías de Interesados

En función de los Datos personales que el Cliente, un Cliente Afiliado o un Usuario informe en los Servicios, o que comparta con Sage, en relación con los Servicios prestados en virtud del Acuerdo, Sage podrá tratar Datos personales relacionados con las siguientes personas:

• Empleados, contratistas, trabajadores, solicitantes de empleo u otro personal del Cliente;

   

• Proveedores, clientes, socios comerciales o potenciales clientes del Cliente (cuando dichas partes sean personas físicas);

   

• Usuarios en la medida en que no se haya mencionado anteriormente; y

   

• Otros contactos que el Cliente pueda tener (cuando sean personas físicas y no estén cubiertas anteriormente).

Categorías de Datos Personales

Usted determina a su discreción los Datos personales que envía a los Servicios prestados en virtud del Acuerdo, o que comparta de otro modo con Sage o con una Filial de Sage, con el fin de que Sage preste dichos Servicios. Dado que muchos de nuestros Servicios son personalizables, los Datos personales enviados/compartidos a menudo dependerán de las opciones y el método de comercialización elegido por Usted.

A continuación, se muestra un desglose de los datos personales tratados por Sage para proporcionar nuestros servicios clave (siempre que estos datos se refieran a personas físicas).

• Información del perfil de la empresa: nombre y datos de contacto, código de identificación fiscal, tipo de empresa, dónde está registrada, datos de pagos, información e historial de transacciones, registros fiscales, información de relaciones y correspondencia con otras empresas.
• Información de facturación: nombre y datos de contacto, información de la cuenta bancaria, datos de registro, número de identificación fiscal, importe de pagos, condiciones de pagos y detalles de los Servicios cubiertos por la factura.
• Información de nómina (solo para productos de nómina/add-ons de nómina): nombre y datos de contacto, números de registro/referencia, importe del salario, tipos y cuantías de impuestos, tipos y cuantías de deducción, cuantías y frecuencia de pagos, detalles de la cuenta bancaria, código fiscal, número de la seguridad social, período de pagos, ganancias brutas y netas, totales de horas, cuantías de pago por enfermedad y vacaciones.
• Información de RR.HH. (solo para productos de RR.HH./add-ons de RR.HH.): nombre, función, nivel en la organización, dirección y otros datos de contacto, información de nómina (véase más arriba), fecha de nacimiento, registros de evaluación, registros de ausencias, registros de enfermedad, información de vacaciones (fechas de vacaciones, duración, motivo, frecuencia), registros disciplinarios y de quejas, historial de trabajo y salario, familiares más cercanos, dependencias, información de contacto de emergencia.
• Información de planificación y previsión de resultados (solo para informes/previsión de resultados en productos o add-ons): información de las categorías anteriores (según corresponda), registros de inventario, registros de pedidos y almacenes.
• Información de gestión de clientes (solo para productos/ add-ons de gestión de clientes): nombre, dirección y otra información de contacto y otra información personal sobre presupuestos y encargos, información relativa al lavado de capitales (AML) e información sobre Know Your Customer (KYC).
• Información obtenida a través de cualquier funcionalidad adicional específica requerida (según el tipo de funcionalidad): información en las categorías anteriores (según corresponda), información bancaria, información de informes (como interacciones que generan emisiones y que crean una estimación inicial de la huella de carbono), información de pronóstico y previsión de resultados (costos previstos, ventas, gastos, efectivo, ganancias, responsabilidad fiscal, facturas vencidas, presupuestos y comparaciones).

Los Datos personales sensibles (incluidos los datos de "categoría especial" en virtud del RGPD, es decir, los datos que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas o la afiliación sindical, y los datos genéticos, los datos biométricos con el fin de identificar de forma única a una persona física, los datos relativos a la salud o los datos relativos a la vida sexual o la orientación sexual de una persona física) pueden ser obtenidos y transferidos en ocasiones en relación con los Servicios, si lo comparte un Interesado descrito anteriormente.

Sage se asegurará de aplicar restricciones o salvaguardas adicionales con respecto al Tratamiento de datos personales confidenciales, lo que incluye: (i) garantizar que se evite el tratamiento de datos personales confidenciales siempre que sea posible; (ii) se siguen procesos de responsabilidad (por ejemplo, la realización de evaluaciones de impacto en materia de protección de datos) en relación con el tratamiento de datos personales sensibles; (iii) se proporciona al personal la capacitación adecuada sobre el manejo de Datos Personales Sensibles; (iv) se aplican medidas contractuales y de diligencia debida adicionales cuando sea posible; y (v) la anonimización, la seudonimización y la protección con contraseña se aplican a los Datos personales sensibles siempre que sea posible.

Frecuencia del tratamiento

De forma continua, basada en el uso de los Servicios por parte del Cliente o de un Cliente Afiliado.

Naturaleza del tratamiento

Sage puede tratar los Datos personales descritos anteriormente de las siguientes maneras para proporcionar los Servicios al Cliente: recopilación, registro, organización, estructuración, almacenamiento, copia, visualización, reformateo, adaptación o alteración, anonimización, recuperación, consulta, uso, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, eliminación o destrucción, sincronización con servicios en la nube.

Finalidad(es) del tratamiento

1. Los Datos personales son tratados por Sage como Encargado (o Subencargado, cuando el Cliente es un Encargado) para proporcionar, proteger, respaldar, habilitar, mejorar y mantener los Servicios en relación con el Acuerdo. Si el Cliente opta por suscribirse o interactuar con cualquier Servicio adicional en particular (tal y como se describe en el Acuerdo), Sage podrá descargar, copiar y/o transferir los Datos personales del Cliente para facilitar estas opciones. Cuando corresponda, esto puede incluir la sincronización de los Datos personales del cliente con determinados Servicios basados en la nube de Sage. Si el Cliente decide conectar los Servicios a productos o servicios de terceros, Sage utilizará los Datos personales del Cliente para establecer esta conexión. Cuando Sage reciba Datos personales debido a esta conexión, utilizará dichos Datos personales de conformidad con el Acuerdo.
2. Si el Cliente ordena a Sage que trate Datos personales como parte de un Servicio que utiliza inteligencia artificial, Sage puede encargarse de ello en calidad de responsable. Sage también procesa los datos personales como responsable del tratamiento para los fines establecidos en la Declaración de privacidad de Sage. En todos estos casos, Sage cumplirá con todas las disposiciones pertinentes de este DPA y los requisitos de las Leyes de Protección de Datos.

    

3. Sin perjuicio de cualquier disposición en contrario en la sección anterior, donde se aplica la CCPA (modificada por la CPRA), si el Cliente opta por participar o dirige a Sage para que trate datos personales como parte de un servicio que utiliza inteligencia artificial, Sage tratará datos personales como proveedor de servicios únicamente para usos internos, cuando lo permitan las leyes de protección de datos aplicables.En los casos en que las Leyes de Protección de Datos prohíban a Sage el tratamiento de datos personales únicamente para usos internos, Sage cumplirá con lo siguiente:

    

   1. Sage tratará los Datos personales solo para la Finalidad limitada y especificada de proporcionar el Servicio que utiliza inteligencia artificial.

       

   2. Sage cumplirá con las Leyes de Protección de Datos aplicables, lo que incluye proporcionar el mismo nivel de protección de los Datos personales que exigen las Leyes de Protección de Datos.

    

   1. El Cliente puede tomar medidas razonables y apropiadas para garantizar que Sage utilice los Datos personales de manera coherente con las obligaciones impuestas por las Leyes de protección de datos aplicables, y el Cliente puede, previa notificación, tomar medidas razonables y apropiadas para remediar el uso no autorizado de los Datos personales.

    

4. Sage notificará de inmediato al Cliente si determina que ya no puede cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos aplicables o de este DPA.

Anexo 2 – Mecanismo de Transferencia

OPCIONES Y ANEXOS I, II Y III DE LAS SCC DE LA UE

1.1            OPCIONES:

Se incluirán las secciones adicionales para el módulo de Encargado a Encargado en las cláusulas 14, 15 y 16 cuando el módulo de Encargado a Encargado se aplique a la transferencia.

ANEXO I A: LISTA DE PARTES:

Exportador(es) de datos: Cliente

Nombre y dirección: el proporcionado a Sage

Nombre, cargo y datos de contacto del coordinador: los proporcionados a Sage

Actividades relacionadas con los datos transferidos en virtud de las presentes Cláusulas: para obtener los Servicios en virtud del Acuerdo.

Firma y fecha: según el Acuerdo confirmado o ejecutado por el Cliente

Función (Responsable /Encargado): Responsable o Encargado, dependiendo de la función del Cliente.

Importador(es) de datos: (dependiendo del Servicio): Brightpearl, Inc., Intacct Software Private Ltd, Ocrex Australia Pty Ltd, Ocrex, Inc. (EE.UU.), Sage Budgeta, Inc., Sage Business Solutions Pty Limited, Sage Business Technology (India) Private Limited (anteriormente conocida como Ocrex Enterprises Private Limited), Sage Global Services Limited, Sage Intacct, Inc., Sage Software Holdings, Inc., Sage Software, Inc., Sage Software North America,  Sage South Africa Proprietary Limited, y posiblemente otros importadores del grupo Sage de vez en cuando (véanse las páginas de firmas).

Actividades relacionadas con los datos transferidos en virtud de las presentes Cláusulas: para prestar los Servicios en virtud del Acuerdo.

Función (responsable /encargado): Encargado

ANEXO I B: DESCRIPCIÓN DE LA TRANSFERENCIA:

Véase el Anexo 1.

Además:

(a) La frecuencia de la transferencia (por ejemplo, si los datos se transfieren de forma puntual o continua): los Datos personales pueden transferirse de forma continua durante la duración de los Servicios.

(b) El período durante el cual se conservarán los Datos personales o, si no es posible, los criterios utilizados para determinar ese período: los Datos personales descritos en el Anexo 1 se conservarán durante el tiempo que sea necesario para proporcionar los Servicios y para que el importador de datos cumpla con los requisitos u obligaciones legales aplicables.

(c) En el caso de las transferencias al (Sub)Encargado, especifique también el objeto, la naturaleza y la duración del Tratamiento: el objeto, la naturaleza y la duración del subTratamiento son los descritos en el Anexo 1 y anteriores.

ANEXO I C: AUTORIDAD DE CONTROL COMPETENTE

De acuerdo con la Cláusula 13 (Supervisión) en Opciones

ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS

Disponible en https://www.sage.com/es-es/confianza-seguridad/ o sobre pedido

ANEXO II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS

De acuerdo con la Parte 3 de la DPA

ANEXO III: LISTA DE SUBENCARGADOS DEL TRATAMIENTO

Véase la cláusula 5 del DPA

ANEXO III: LISTA DE SUBENCARGADOS DEL TRATAMIENTO

Ver aquí

1.2       PARTES 1 Y 2 DE LA ADENDA DEL REINO UNIDO (Los términos definidos utilizados en esta sección tendrán el significado que se les da en la Adenda del Reino Unido. Si no se definen en la Adenda del Reino Unido, tendrán el significado que se les da en el DPA).

Parte 1: Tablas

Tabla 1: Partes

Tabla 2: SCC de la UE, módulos y cláusulas seleccionadas

Tabla 3: Información del apéndice

Por "Información del Apéndice" se entiende la información que debe proporcionarse para los módulos seleccionados, tal como se establece en el Apéndice de las SCC de la UE aprobadas (distintas de las Partes), y que para esta Adenda se establece en la sección 1.1 del presente Anexo 2.

Tabla 4: Finalización de esta Adenda cuando cambia la Anexo Aprobada

Parte 2: Cláusulas obligatorias

Parte 2: Cláusulas obligatorias de la Adenda Aprobada, que es la plantilla de Adenda B.1.0 emitida por la ICO y presentada ante el Parlamento de conformidad con el artículo 119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, tal como se revisa en la Sección 18 de dichas Cláusulas Obligatorias, se incorporan a la presente.

1.3            PARTES 1 A 4 DE LA IDTA DEL REINO UNIDO

Parte 1: Tablas

Tabla 1: Partes y firmas

Véase la sección 1.1 de este Anexo 2.

Tabla 2: Detalles de la transferencia

Tabla 3: Datos transferidos

Tabla 4: Requisitos de seguridad

Véase el anexo II del anexo 2

Cláusulas imperativas

Por la presente se incorporan las siguientes: Parte 4: Cláusulas obligatorias de la IDTA aprobada, que es la plantilla IDTA A.1.0 emitida por la ICO y presentada ante el Parlamento de conformidad con el artículo 119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, tal y como se revisa en virtud de la sección 5.4 de dichas cláusulas obligatorias.

1.4 FIRMAS DE AFILIADOS DE SAGE (en la medida en que actúen como importadores de datos): consulte las páginas aquí.

Anexo 3 - Términos equivalentes

Descargar en versión pdf