Acuerdo de Dropbox Business

Publicación: 14 de septiembre de 2016

Este Acuerdo de Dropbox Business (el "Acuerdo") se celebra entre Dropbox International Unlimited Company si tu organización está radicada fuera de los Estados Unidos, Canadá y México ("América del Norte"), o bien si tu organización está radicada en América del Norte, entre Dropbox, Inc., una corporación de Delaware (cada uno de ellos, "Dropbox"), y la organización que acepta estas condiciones (el "Cliente"). Este Acuerdo rige el acceso al software cliente y a los servicios de Dropbox Business, y el uso de ellos (en su conjunto, "Dropbox Business"), y los Servicios beta disponibles para ti (en conjunto, con Dropbox Business, los "Servicios"). Al hacer clic en “Acepto”, al firmar el contrato para recibir los Servicios o al usar los Servicios, aceptas este Acuerdo como Cliente.

En la medida en que Dropbox, Inc., en nombre del Cliente, procese Datos del cliente que estén sujetos a las leyes nacionales que implementan la Directiva de Protección de Datos Personales de la UE (95/46/CE) (las "Leyes de Protección de Datos de la UE"), al hacer clic en "Acepto", también aceptas las cláusulas contractuales estándares de la UE con Dropbox, Inc. para la transferencia de datos personales a los encargados del procesamiento que se estipulan en el Anexo 1.

Si aceptas este Acuerdo y el Anexo 1 (si corresponde) para el uso de los Servicios por parte de una organización, aceptas este Acuerdo en representación de esa organización. Debes tener la autoridad de vincular legalmente esa organización a estas condiciones; de lo contrario, no debes registrarte en los Servicios.

1. Servicios.
   1. Prestación de servicios. El Cliente y la cuenta de los Servicios del Cliente (los “Usuarios finales”) podrán acceder a los Servicios y usarlos de conformidad con este Acuerdo.
   2. Instalaciones y procesamiento de datos. Dropbox aplicará, como mínimo, medidas de seguridad técnicas y organizativas de conformidad con las normas de la industria para transferir, almacenar y procesar los Datos del cliente. Estas medidas están diseñadas para preservar la integridad de los Datos del cliente, y para brindar protección contra el acceso, el uso y el procesamiento ilegales de los Datos del cliente. El Cliente acepta que Dropbox podrá transferir, almacenar y procesar los Datos del cliente en los Estados Unidos y en ubicaciones ajenas al país del Cliente. En la medida en que los Datos del Cliente estén sujetos a las Leyes de Protección de Datos de la UE y Dropbox los procese en calidad de encargado del procesamiento en representación del Cliente (como responsable del procesamiento de datos), Dropbox utilizará y procesará los Datos del Cliente tal como el Cliente le indique para proporcionar los Servicios y cumplir con las obligaciones de Dropbox en virtud del Acuerdo. Los "Datos del cliente" son los Datos almacenados y los Datos de la cuenta. Los "Datos almacenados" son los archivos y datos estructurados que el Cliente o los Usuarios finales envían a los Servicios. Los "Datos de la cuenta" son la información de la cuenta y de contacto que el Cliente o los Usuarios finales envían al Servicio.
   3. Modificaciones a los Servicios. Dropbox podrá actualizar los Servicios oportunamente. Si Dropbox modificara los Servicios de un modo que su funcionalidad se viera considerablemente reducida, Dropbox informará esta situación al Cliente a través de la dirección de correo electrónico asociada con la cuenta.
   4. Software. Algunos Servicios permiten que el Cliente descargue software de Dropbox que podría actualizarse automáticamente. El Cliente solamente podrá usar el software para acceder a los Servicios. Si algún componente del software se ofrece con una licencia de código abierto, Dropbox pondrá a disposición del Cliente la licencia, y las estipulaciones de esa licencia podrán anular explícitamente algunas de las condiciones estipuladas en este Acuerdo.
   5. Servicios beta. Dropbox podrá ofrecer características o productos que todavía estén en etapa de prueba y evaluación. Estos productos y características se identifican como alfa, beta, vista previa, acceso anticipado o evaluación (o palabras o frases con significados similares) (en su conjunto, "Servicios beta"). Sin perjuicio de lo estipulado en este Acuerdo o en el Anexo 1, todos los Servicios beta se rigen por las siguientes condiciones: (a) podrás usar o rechazar el uso de cualquier Servicio beta; (b) los Servicios beta podrían no brindar soporte y podrían modificarse en cualquier momento sin aviso previo; (c) los Servicios beta podrían no ser tan confiables como Dropbox Business ni estar tan disponibles como este producto; (d) los Servicios beta todavía no se sometieron a las mismas medidas de seguridad y auditoría que Dropbox Business; y (e) DROPBOX NO SE HARÁ RESPONSABLE POR CUALQUIER PROBLEMA QUE PUDIERA SURGIR COMO CONSECUENCIA DE LOS SERVICIOS BETA NI EN RELACIÓN CON ELLOS: EL USO DE LOS SERVICIOS QUEDA A TU PROPIO RIESGO.
2. Obligaciones del Cliente.
   1. Conformidad. El Cliente es responsable del uso de estos Servicios por parte de los Usuarios finales. El Cliente y sus Usuarios finales deben usar los Servicios de conformidad con la Política de uso aceptable. El Cliente debe solicitar a los Usuarios finales toda autorización necesaria para permitir que los administradores participen en las actividades que se describen en este Acuerdo y para permitir que Dropbox preste los Servicios. El Cliente cumplirá con las leyes y las normativas aplicables al uso de los Servicios por parte del Cliente (si corresponde).
   2. Administración de los Servicios por parte del Cliente. El cliente puede designar como "Administradores" a Usuarios finales específicos a través de la Consola de administración. Los Administradores tendrán la capacidad de acceder a los Datos del cliente en las cuentas de los Servicios, o bien de divulgarlos, restringirlos o eliminarlos. Los Administradores también podrán supervisar, restringir o cancelar el acceso a las cuentas de los Servicios. Las responsabilidades de Dropbox no se aplican a la gestión o administración interna de los Servicios. El Cliente tiene la responsabilidad de: (i) mantener la confidencialidad de las contraseñas y de las cuentas de los Administradores, (ii) administrar el acceso a las cuentas de los Administradores y (iii) garantizar que el uso de los Servicios por parte de los Administradores cumpla con este Acuerdo. El Cliente reconoce que, si adquiere los Servicios a través de un revendedor y delega la administración a los miembros del personal del revendedor en calidad de Administradores de la cuenta de los Servicios del Cliente, es posible que ese revendedor pueda controlar la información de la cuenta, incluidos los Datos del Cliente, y acceder a la cuenta de los Servicios del Cliente como se describió anteriormente en más detalle.
   3. Uso y acceso no autorizados. El Cliente impedirá el uso no autorizado de los Servicios por parte de sus Usuarios finales y cancelará todo acceso o uso no autorizado en relación con los Servicios. Los Servicios no se diseñaron para ser usados por parte de Usuarios finales menores de 13 años. El Cliente se asegurará de no permitir el acceso a los Servicios por parte de personas menores de 13 años. El Cliente notificará de inmediato a Dropbox en caso de acceso o uso no autorizados en relación con los Servicios.
   4. Usos restringidos. El Cliente no (i) venderá, revenderá ni arrendará los Servicios, (ii) usará los Servicios para actividades en las cuales el uso o intento de uso de los Servicios pudieran causar daños físicos, lesiones personales o la muerte ni (iii) aplicará ingeniería inversa a los Servicios, ni intentará hacerlo, ni ayudará a alguien a hacerlo, a menos que esta restricción esté prohibida por la ley.
   5. Solicitudes de terceros.
      1. Una “Solicitud de terceros” es una solicitud presentada por un tercero para acceder a los registros relacionados con el uso de los Servicios por parte de un Usuario final, incluida la información en una cuenta de Dropbox para empresas de un Usuario final o de un Cliente, o bien la información de esa cuenta. Entre las Solicitudes de terceros, se incluyen investigaciones judiciales, resoluciones legales o citaciones judiciales, o bien cualquier otra solicitud aprobada por escrito por los Usuarios finales que permitiera una divulgación.
      2. El Cliente es responsable de responder a las Solicitudes de terceros mediante su propio acceso a la información. El Cliente procurará obtener la información requerida para responder a las Solicitudes de terceros y solamente se comunicará con Dropbox en caso de no lograr obtener esa información a pesar de haber hecho todos los esfuerzos diligentes.
      3. Dropbox hará todo esfuerzo comercialmente razonable en la medida permitida por la ley y de conformidad con la Solicitud de terceros para: (A) informar de inmediato al Cliente que Dropbox recibió una Solicitud de terceros; (B) cumplir con las solicitudes comercialmente razonables del Cliente relacionadas con los esfuerzos para oponerse a una Solicitud de terceros; y (C) brindar al Cliente la información o las herramientas necesarias para que este responda a la Solicitud de terceros (si el Cliente no lograra obtener la información por otros medios). Si el Cliente no respondiera de inmediato a una Solicitud de terceros, Dropbox podrá hacerlo, pero no estará obligado a ello.
3. Servicios de terceros. Si el Cliente usara un servicio de terceros (p. ej., un servicio que usa una API de Dropbox) con los Servicios, (a) Dropbox no será responsable de ningún acto u omisión del tercero, incluidos el acceso por parte del tercero a los Datos del cliente y su uso, y (b) Dropbox no garantiza ni respalda ningún servicio prestado por el tercero.
4. Suspensión
   1. De las cuentas de los Usuarios finales por parte de Dropbox. Si un Usuario final (i) infringe este Acuerdo o (ii) usa los Servicios de una forma que, a criterio razonable de Dropbox, pudiera provocar una obligación legal, Dropbox podrá solicitar que el Cliente suspenda o cancele la cuenta correspondiente del Usuario final. Si el Cliente no suspende ni cancela de inmediato la cuenta del Usuario final, Dropbox podrá hacerlo por su propia voluntad.
   2. Emergencias de seguridad. Sin perjuicio de otras disposiciones incluidas en este Acuerdo, si se presentara una Emergencia de seguridad, Dropbox podrá suspender automáticamente el uso de los Servicios. Dropbox hará todo esfuerzo comercialmente razonable para acotar la suspensión según se requiera a fin de prevenir o finalizar la Emergencia de seguridad. Una “Emergencia de seguridad” se describe como: (i) el uso de los Servicios de un modo que pudiera afectar los Servicios o la infraestructura diseñada para prestar los Servicios o que, de hecho, afectara los Servicios y (ii) el acceso no autorizado de terceros a los Servicios.
5. Derechos de propiedad intelectual.
   1. Derechos reservados. Excepto según se dispone aquí explícitamente, este Acuerdo no concede (i) Derechos de propiedad intelectual sobre los Datos de los clientes a Dropbox ni (ii) Derechos de propiedad intelectual sobre los Servicios o marcas y características de las marcas de Dropbox al Cliente. Los “Derechos de propiedad intelectual” son los derechos mundiales actuales y futuros de conformidad con los derechos de patentes, copyright, secretos comerciales, marcas registradas, derechos morales y otros derechos semejantes.
   2. Autorización limitada. El Cliente concede a Dropbox únicamente los derechos limitados razonablemente necesarios para que Dropbox preste los Servicios (p. ej., alojar Datos almacenados). Esta autorización se aplica también a las subsidiarias y a los terceros de confianza con los que trabaja Dropbox para ofrecer los Servicios (p. ej., el proveedor de servicios de pago que se usa para cobrar las suscripciones).
   3. Sugerencias. Dropbox podrá, a su exclusivo criterio y por cualquier motivo, usar, modificar e incorporar en sus productos y servicios, conceder licencias y sublicencias respecto de cualquier opinión, comentario o sugerencia que el Cliente o los Usuarios finales envíen a Dropbox o publiquen en los foros de Dropbox sin ninguna obligación ante el Cliente.
   4. Lista de clientes. Dropbox podrá incluir el nombre del Cliente en una lista de clientes de Dropbox en el sitio web de Dropbox o en el material de publicidad.
6. Tarifas y pagos.
   1. Tarifas. El Cliente pagará, y autoriza a su revendedor o a Dropbox a cobrarle a través del método de pago seleccionado por el Cliente, todas las tarifas aplicables. Las tarifas no son reembolsables, excepto según las estipulaciones de la ley. El Cliente es responsable de brindar información de facturación y de contacto completa y precisa a Dropbox o al revendedor del Cliente. Dropbox podrá suspender o cancelar los Servicios una vez vencido el plazo de pago.
   2. Renovaciones automáticas y períodos de prueba. SI LA CUENTA DEL CLIENTE ESTÁ CONFIGURADA PARA RENOVARSE AUTOMÁTICAMENTE O ESTÁ EN PERÍODO DE PRUEBA, DROPBOX (O EL REVENDEDOR DEL CLIENTE) PODRÁ APLICAR UN COBRO AUTOMÁTICO POR RENOVACIÓN O AL CONCLUIR EL PERÍODO DE PRUEBA, A MENOS QUE EL CLIENTE NOTIFIQUE A DROPBOX (O AL REVENDEDOR DEL CLIENTE, SEGÚN CORRESPONDA) QUE DESEA CANCELAR O INHABILITAR LA RENOVACIÓN AUTOMÁTICA. Dropbox podrá actualizar las tarifas del Servicio con un aviso previo de al menos 30 días antes del próximo cobro.
   3. Impuestos. El Cliente es responsable de todos los impuestos. Dropbox o el revendedor del Cliente cobrará impuestos cuando sea necesario. Si el Cliente debe retener impuestos según las estipulaciones de la ley, este debe proporcionar a Dropbox o al revendedor del Cliente un recibo de impuestos oficial u otra documentación apropiada.
   4. Órdenes de compra. Si el Cliente requiere el uso de una orden de compra o de un número de orden de compra, el Cliente (i) debe especificar el número de orden de compra en el momento de la compra y (ii) acepta que los términos y condiciones de una orden de compra del Cliente no se aplicarán a este Acuerdo y que, además, serán nulos y no válidos. Si el Cliente realiza la compra a través de un revendedor, los términos y condiciones del revendedor del Cliente o que figuren en una orden de compra entre el Cliente y su revendedor que pudieran entrar en conflicto con el Acuerdo de Dropbox Business serán nulos y no válidos.
7. Plazo y rescisión.
   1. Plazo. Este Acuerdo permanecerá en vigencia hasta que caduque o finalice la suscripción del Cliente a los Servicios, o bien hasta que se rescinda este Acuerdo.
   2. Rescisión por incumplimiento. Dropbox o el Cliente podrán rescindir este Acuerdo si: (i) la otra parte incumple sustancialmente el Acuerdo y no resuelve esa situación en un plazo de 30 días posteriores a haber recibido un aviso por escrito; o (ii) la otra parte deja de operar comercialmente o se inician procedimientos de insolvencia, y los procedimientos no se anulan en un plazo de 90 días.
   3. Efectos de la rescisión. Si se rescindiera este Acuerdo: (i) los derechos concedidos por Dropbox al Cliente cesarán inmediatamente (excepto según se estipule en este apartado); (ii) Dropbox podrá conceder acceso al Cliente a su cuenta a las tarifas vigentes de modo que el Cliente pueda exportar los Datos almacenados; y (iii) después de un período comercialmente razonable, Dropbox podrá eliminar cualquier Dato almacenado relacionado con la cuenta del Cliente. Los siguientes apartados seguirán vigentes después de la caducidad o la rescisión de este Acuerdo: 2(e) (Solicitudes de terceros), 5 (Derechos de propiedad intelectual), 6 (Tarifas y pagos), 7(c) (Efectos de la rescisión), 8 (Indemnidad), 9 (Descargos de responsabilidad), 10 (Limitación de responsabilidad), 11 (Disputas) y 12 (Otras condiciones).
8. Indemnidad.
   1. Por parte del Cliente. El Cliente mantendrá indemne, defenderá y exonerará a Dropbox de todo daño, responsabilidad y costo (incluidos los costos de acuerdos extrajudiciales y honorarios legales razonables) que pudieran surgir como consecuencia de una reclamación de terceros contra Dropbox y sus afiliados respecto de: (i) los Datos del cliente; (ii) el uso de los Servicios por parte del Cliente en infracción con este Acuerdo; o (iii) el uso de los Servicios por parte de los Usuarios finales en infracción con este Acuerdo.
   2. Por parte de Dropbox. Dropbox mantendrá indemne, defenderá y exonerará al Cliente de todo daño, responsabilidad y costo (incluidos los costos de acuerdos extrajudiciales y honorarios legales razonables) que pudieran surgir como consecuencia de una reclamación de terceros contra el Cliente siempre que se base en una acusación de que la tecnología de Dropbox usada para prestar los Servicios al Cliente infringiera o se apropiara indebidamente de cualquier copyright, secreto comercial, patente de los EE. UU. o derecho de marca registrada del tercero. En ningún caso Dropbox tendrá obligaciones o responsabilidad de conformidad con este apartado como consecuencia: (i) del uso de cualquier Servicio de forma modificada o en combinación con material no proporcionado por Dropbox y (ii) de cualquier contenido, información o dato proporcionado por el Cliente, los Usuarios finales u otros terceros.
   3. Posible infracción. Si Dropbox considera que los Servicios infringen real o presuntamente los Derechos de propiedad intelectual de un tercero, Dropbox podrá: (i) obtener el derecho para que el Cliente, a costas de Dropbox, continúe usando los Servicios; (ii) proporcionar una funcionalidad equivalente de reemplazo que no esté en infracción; o (iii) modificar los Servicios para que ya no estén en infracción. Si Dropbox no considera que las opciones descritas en este apartado son comercialmente razonables, podrá suspender o cancelar el uso de los Servicios afectados por parte del Cliente (con un reembolso prorrateado de las tarifas prepagas por los Servicios).
   4. General. La parte que procure indemnización notificará inmediatamente la reclamación a la otra parte y cooperará con la otra parte para defender la reclamación. La parte indemnizadora tendrá pleno control y plena autoridad sobre la defensa, excepto que: (i) un acuerdo extrajudicial que requiera que la parte que procura obtener indemnización para admitir responsabilidad requiera una autorización previa por escrito, que no debe retenerse ni demorarse sin motivos y (ii) la otra parte pueda unirse a la defensa con su propio asesoramiento legal y a su propio cargo. LAS INDEMNIZACIONES PRECEDENTES CONSTITUYEN EL ÚNICO RECURSO DE DROPBOX Y DEL CLIENTE, DE CONFORMIDAD CON ESTE ACUERDO, PARA LIDIAR CON LA INFRACCIÓN DE LA OTRA PARTE RESPECTO DE LOS DERECHOS DE PROPIEDAD INTELECTUAL DE UN TERCERO.
9. Descargos de responsabilidad. LOS SERVICIOS SE PRESTAN “TAL COMO ESTÁN”. EN LA MÁXIMA MEDIDA PERMITIDA POR LA LEY, EXCEPTO SEGÚN SE DISPONE EXPLÍCITAMENTE EN ESTE ACUERDO, NI EL CLIENTE NI DROPBOX Y SUS SUBSIDIARIAS, PROVEEDORES Y DISTRIBUIDORES CONCEDEN GARANTÍAS DE NINGÚN TIPO, YA SEAN EXPLÍCITAS, IMPLÍCITAS, NORMATIVAS NI DE NINGUNA OTRA ÍNDOLE, INCLUIDAS LAS GARANTÍAS DE COMERCIABILIDAD, APTITUD PARA UN USO ESPECÍFICO O NO INFRACCIÓN. EL CLIENTE ES RESPONSABLE DE MANTENER Y REALIZAR LA COPIA DE SEGURIDAD DE LOS DATOS ALMACENADOS.
10. Limitación de responsabilidad.
    1. Limitación de responsabilidad indirecta. EN LA MÁXIMA MEDIDA PERMITIDA POR LA LEY, EXCEPTO POR LAS OBLIGACIONES DE INDEMNIDAD DE DROPBOX O DEL CLIENTE, NI EL CLIENTE NI DROPBOX Y SUS SUBSIDIARIAS, PROVEEDORES Y DISTRIBUIDORES SERÁN RESPONSABLES SEGÚN ESTE ACUERDO POR (I) DAÑOS INDIRECTOS, ESPECIALES, INCIDENTALES, CONSECUENTES, EJEMPLARES NI PUNITIVOS, NI POR (II) LUCRO CESANTE, PÉRDIDA DE DATOS, PÉRDIDA DE NEGOCIO O PÉRDIDA DE BENEFICIOS (EN CADA CASO, YA SEAN DIRECTOS O INDIRECTOS) AUNQUE LA PARTE TUVIERA O DEBIERA HABER TENIDO CONOCIMIENTO DE QUE ESOS DAÑOS SERÍAN POSIBLES Y AUNQUE UN RECURSO NO CUMPLA SU PROPÓSITO ESENCIAL.
    2. Limitación al monto de la responsabilidad. EN LA MÁXIMA MEDIDA PERMITIDA POR LA LEY, LA RESPONSABILIDAD TOTAL DE DROPBOX, DE CONFORMIDAD CON ESTE ACUERDO, NO SUPERARÁ EL MONTO MENOR ENTRE $100 000 Y EL MONTO PAGADO POR EL CLIENTE POR LOS SERVICIOS SEGÚN ESTE ACUERDO DURANTE LOS DOCE MESES PREVIOS AL EVENTO QUE GENERÓ LA RESPONSABILIDAD.
11. Disputas.
    1. Resolución informal. Dropbox desea abordar tus temas sin recurrir a un caso legal formal. Antes de presentar una reclamación, cada parte acepta intentar resolver la disputa mediante el contacto con la otra parte a través de los procedimientos de notificación indicados en el apartado 12(e). Si una disputa no se resolviera en un plazo de 30 días posteriores al aviso, el Cliente o Dropbox podrán iniciar un proceso formal.
    2. Acuerdo de arbitrar. El Cliente y Dropbox aceptan resolver cualquier reclamación en relación con este Acuerdo o con los Servicios a través de un arbitraje final y vinculante, excepto según se indica en las siguientes disposiciones. La Asociación Estadounidense de Arbitraje (American Arbitration Association, AAA) administrará el arbitraje según sus Normas de Arbitraje Comercial. El arbitraje se llevará a cabo en San Francisco (California) o en la ubicación que ambas partes acuerden por escrito.
    3. Excepción al acuerdo de arbitrar. Cualquiera de las partes podrá iniciar un juicio en los tribunales federales o estatales del Condado de San Francisco, California, exclusivamente para las medidas cautelares destinadas a detener el uso o abuso no autorizados de los Servicios o la infracción de Derechos de propiedad intelectual sin participar previamente del proceso de aviso para disputas informales ya descrito. Tanto el Cliente como Dropbox aceptan la jurisdicción competente y personal en ese lugar.
    4. EXCLUSIÓN DE DEMANDAS COLECTIVAS. El Cliente únicamente podrá resolver las disputas con Dropbox de forma individual y no presentará reclamaciones a través de demandas colectivas, consolidadas ni representativas. No están permitidos los arbitrajes colectivos, las demandas colectivas, las acciones generales de abogados privados ni las consolidaciones con otros arbitrajes.
12. Otras condiciones.
    1. Modificación de las condiciones. Dropbox puede revisar este Acuerdo de vez en cuando y la versión más reciente siempre estará publicada en el sitio web de Dropbox Business. Si una revisión, a exclusivo criterio de Dropbox, es sustancial, Dropbox notificará al Cliente (por ejemplo, a través de un correo electrónico a la dirección vinculada con la cuenta correspondiente). Podrán publicarse otras revisiones en el blog de Dropbox o en la página de las condiciones de uso. El Cliente es responsable de consultar estas publicaciones regularmente. Al continuar accediendo a los Servicios o al usarlos después de que las revisiones entren en vigencia, el Cliente acepta el Acuerdo revisado. Si el Cliente no acepta las condiciones revisadas del Acuerdo, el Cliente podrá cancelar los Servicios en un plazo de 30 días posteriores a la recepción del aviso de modificación.
    2. Acuerdo completo. Este Acuerdo, incluidos la factura del Cliente y el formulario de pedido de Dropbox (si corresponde), constituye el acuerdo completo entre el Cliente y Dropbox respecto del asunto pertinente a este Acuerdo, y prevalece y reemplaza a todo entendimiento y acuerdo anterior o contemporáneo, ya sea escrito o verbal, respecto del asunto pertinente a este Acuerdo. Si hubiera un conflicto entre los documentos que conforman este Acuerdo, los documentos prevalecerán en el orden siguiente: la factura de Dropbox, el formulario de pedido de Dropbox y el Acuerdo.
    3. Legislación aplicable. ESTE ACUERDO SE REGIRÁ SEGÚN LAS LEYES DE CALIFORNIA, EXCEPTO POR SUS PRINCIPIOS DE CONFLICTOS DE LEYES.
    4. Divisibilidad. Las disposiciones no aplicables se modificarán para reflejar la intención de las partes y solamente en la medida necesaria para que puedan aplicarse. Las demás disposiciones de este Acuerdo permanecerán en plena vigencia.
    5. Aviso. Los avisos se deben enviar por correo prioritario, correo aéreo o correo de entrega en 24 horas y se consideran entregados en el momento de la recepción. Además, los avisos a los Clientes podrán enviarse a la dirección de correo electrónico de la cuenta correspondiente y se consideran entregados en el momento del envío. Los avisos a Dropbox deben enviarse a Dropbox, Inc., P.O. Box 77767, San Francisco, CA 94107, con una copia al Departamento Legal.
    6. Exención de responsabilidades. La exención de un incumplimiento no representa la exención de un incumplimiento posterior.
    7. Asignación. El Cliente no podrá asignar ni transferir este Acuerdo ni ningún derecho u obligación incluido en él sin previa autorización por escrito de Dropbox. Dropbox no podrá asignar este Acuerdo sin proporcionar un aviso al Cliente, excepto que Dropbox podrá asignar este Acuerdo o cualquier derecho u obligación incluido en él a una subsidiaria o en relación con una fusión, adquisición, reorganización corporativa o venta sustancialmente parcial o total de sus activos sin proporcionar aviso. Cualquier otro intento de transferencia o asignación será nulo.
    8. No representación. Dropbox y el Cliente no son socios ni representantes legales, sino contratistas independientes.
    9. Fuerza mayor. Excepto por las obligaciones de pago, ni Dropbox ni el Cliente serán responsables por una prestación inadecuada en la medida en que esta fuera provocada por una condición fuera del control razonable de una de las partes (p. ej., un desastre natural, un acto de guerra o terrorismo, disturbios, condiciones laborales, una acción del gobierno e interrupción de la conexión a Internet).
    10. Exclusión de terceros beneficiarios. No hay terceros beneficiarios en este Acuerdo. Sin limitación a este apartado, los Usuarios finales de un Cliente no son terceros beneficiarios de los derechos del Cliente de conformidad con este Acuerdo.
    11. Restricciones a la exportación. La exportación y reexportación de Datos de los clientes a través de los Servicios podrán estar controladas por las normativas de la Administración de Exportaciones de los Estados Unidos u otras restricciones a las exportaciones u otros embargos aplicables. Los Servicios no podrán usarse en Cuba, Irán, Corea del Norte, Sudán o Siria, ni en cualquier otro país que esté sujeto a un embargo por parte de los Estados Unidos; además, el Cliente no debe usar los Servicios en infracción de cualquier restricción de exportación o embargo por parte de los Estados Unidos u otra jurisdicción aplicable. Asimismo, el Cliente debe asegurarse de que los Servicios no se proporcionen a las personas incluidas en la Tabla de órdenes de denegación, en la Lista de entidades ni en la Lista de ciudadanos especialmente designados de los Estados Unidos.

A los efectos del Artículo 26, Apartado 2, de la Directiva 95/46/CE sobre transferencia de datos personales a los encargados del procesamiento en terceros países que no garanticen una adecuada protección de los datos.

Nombre de la entidad exportadora de datos: El Cliente que actúa como parte en el Acuerdo de Dropbox Business con Dropbox International Unlimited Company
(el exportador de datos)

y

Nombre de la organización importadora de los datos: Dropbox, Inc.
Dirección: 333 Brannan Street, San Francisco, CA 94107, Estados Unidos
(el importador de datos)

cada una de ellas, una "parte"; en conjunto, "las partes",

ACUERDAN las siguientes cláusulas contractuales (en lo sucesivo, las "Cláusulas") con el objetivo de ofrecer garantías suficientes respecto de la protección de la vida privada, y los derechos y libertades fundamentales de las personas para la transferencia del exportador de datos al importador de datos de los datos personales especificados en el Apéndice 1.

A los efectos de las presentes Cláusulas:

1. "datos personales", "categorías especiales de datos", "procesar/procesamiento", "responsable del procesamiento", "encargado del procesamiento", "interesado" y "autoridad de control" tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, con fecha el 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de estos datos¹;
2. por "exportador de datos" se entenderá el responsable del procesamiento que transfiera los datos personales;
3. por "importador de datos" se entenderá el encargado del procesamiento que convenga en recibir del exportador datos personales para su posterior procesamiento en nombre de este, de conformidad con sus instrucciones y con los términos de las Cláusulas, y que no esté sujeto al sistema de un tercer país por el que se garantice la protección adecuada en el sentido del Artículo 25, Apartado 1, de la Directiva 95/46/CE;
4. por "subencargado del procesamiento" se entenderá cualquier encargado del procesamiento contratado por el importador de datos o por cualquier otro subencargado de este que convenga en recibir del importador de datos, o de cualquier otro subencargado de este, datos personales exclusivamente para las posteriores actividades de procesamiento que se pudieran llevar a cabo en nombre del exportador de datos, de conformidad con sus instrucciones, los términos de las Cláusulas y los términos del subcontrato que se hubiera concluido por escrito;
5. por "legislación de protección de datos aplicable" se entenderá la legislación que protege los derechos y las libertades fundamentales de las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del procesamiento en el Estado miembro en que reside el exportador de datos;
6. por "medidas de seguridad técnicas y organizativas" se entenderán las medidas destinadas a proteger los datos personales contra su destrucción accidental o ilícita, o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de procesamiento.

Los detalles de la transferencia, en particular, las categorías especiales de los datos personales, se especifican si procede en el Apéndice 1, que forma parte integrante de las presentes Cláusulas.

1. Los interesados podrán exigir al exportador de datos el cumplimiento de la presente Cláusula, los Incisos b) a i) de la Cláusula 4, los Incisos a) a e) y g) a j) de la Cláusula 5, los Apartados 1 y 2 de la Cláusula 6, la Cláusula 7, el Apartado 2 de la Cláusula 8 y las Cláusulas 9 a 12, como terceros beneficiarios.
2. Los interesados podrán exigir al importador de datos el cumplimiento de la presente Cláusula, los Incisos a) a e) y g) de la Cláusula 5, la Cláusula 6, la Cláusula 7, el Apartado 2 de la Cláusula 8 y las Cláusulas 9 a 12, cuando el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, y a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigir el cumplimiento a dicha entidad.
3. Los interesados podrán exigir al subencargado del procesamiento de datos el cumplimiento de la presente Cláusula, los Incisos a) a e) y g) de la Cláusula 5, la Cláusula 6, la Cláusula 7, el Apartado 2 de la Cláusula 8 y las Cláusulas 9 a 12, en aquellos casos en que ambos, el exportador de datos y el importador de datos, hayan desaparecido de facto o hayan cesado de existir jurídicamente o sean insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigir el cumplimiento a dicha entidad. Dicha responsabilidad civil del subencargado del tratamiento de datos se limitará a sus propias operaciones de tratamiento de datos con arreglo a las Cláusulas.
4. Las partes no se oponen a que los interesados estén representados por una asociación u otras entidades, si así lo desean expresamente y lo permite el Derecho nacional.

El exportador de datos acuerda y garantiza lo siguiente:

1. el procesamiento de los datos personales, incluida la propia transferencia, se ha efectuado y seguirá efectuándose de conformidad con las normas pertinentes de la legislación de protección de datos aplicable (y, si procede, se ha notificado a las autoridades correspondientes del Estado miembro donde resida el exportador de datos) y no infringe las disposiciones legales o reglamentarias en vigor en ese Estado miembro;
2. ha dado al importador de datos, y le dará durante la prestación de los servicios de procesamiento de los datos personales, instrucciones para que el procesamiento de los datos personales transferidos se lleve a cabo exclusivamente en nombre del exportador de datos y de conformidad con la legislación de protección de datos aplicable y con las Cláusulas;
3. el importador de datos ofrecerá garantías suficientes en lo que respecta a las medidas de seguridad técnicas y organizativas especificadas en el Apéndice 2 del presente contrato;
4. ha verificado que, de conformidad con la legislación de protección de datos aplicable, esas medidas resultan apropiadas para proteger los datos personales contra su destrucción accidental o ilícita, o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el procesamiento suponga la transmisión de los datos por redes, o contra cualquier otra forma ilícita de tratamiento, y que esas medidas garantizan un nivel de seguridad apropiado a los riegos que entraña el procesamiento y la naturaleza de los datos que han de protegerse, habida cuenta del estado de la técnica y del costo de su aplicación;
5. asegurará que esas medidas se lleven a la práctica;
6. si la transferencia incluye categorías especiales de datos, se habrá informado a los interesados, o se les informará antes de que se efectúe aquella, o en cuanto sea posible, de que sus datos podrían ser transferidos a un tercer país que no proporciona la protección adecuada en el sentido de la Directiva 95/46/CE;
7. reenviará toda notificación recibida del importador de datos o de cualquier subrpocesador de conformidad con las Cláusulas 5(b) y 8(3) a la autoridad de supervisión de protección de datos si el exportador de datos decide continuar con la transferencia o cancelar la suspensión;
8. pondrá a disponibilidad de los interesados, a pedido, una copia de las Cláusulas, a excepción del Apéndice 2, y una descripción resumida de las medidas de seguridad, además de una copia de cualquier contrato para los servicios de subprocesamiento que deba establecerse de conformidad con la Cláusulas, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso se podrá eliminar esa información comercial;
9. que, en caso de subprocesamiento, la actividad de procesamiento se llevará a cabo de conformidad con la Cláusula 11 por un subencargado del procesamiento que proporcionará por lo menos el mismo nivel de protección de los datos personales y los derechos de los interesados que el importador de datos en virtud de las presentes Cláusulas; y
10. que asegurará que los Incisos a) a i) de la Cláusula 4 se lleven a la práctica.

El importador de datos acuerda y garantiza lo siguiente:

1. procesará los datos personales transferidos solo en nombre del exportador de datos, de conformidad con sus instrucciones y las Cláusulas. En caso de que no pudiera cumplir con estos requisitos por la razón que fuere, informará de ello sin demora al exportador de datos, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;
2. no tiene motivos para creer que la legislación aplicable le impida cumplir con las instrucciones del exportador de datos y sus obligaciones a tenor del contrato, y que, en caso de modificación de la legislación que pueda tener un considerable efecto negativo sobre las garantías y obligaciones estipuladas en las Cláusulas, notificará al exportador de datos sobre ese cambio en cuanto tenga conocimiento de él, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;
3. ha adoptado las medidas de seguridad técnicas y organizativas que se indican en el Apéndice 2 antes de efectuar el procesamiento de los datos personales transferidos;
4. notificará sin demora al exportador de datos sobre:
   1. toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación de ley, a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una investigación llevada a cabo por una de esas autoridades,
   2. todo acceso accidental o no autorizado,
   3. toda solicitud recibida directamente de los interesados sin responder a ella, a menos que se le autorice a hacerlo;
5. abordará adecuadamente en los períodos de tiempo prescritos todas las consultas del exportador de datos relacionadas con el procesamiento que este realice de los datos personales sujetos a transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al procesamiento de los datos transferidos;
6. ofrecerá a petición del exportador de datos sus instalaciones de tratamiento de datos para que se lleve a cabo la auditoría de las actividades de procesamiento cubiertas por las Cláusulas, que realizará el exportador de datos o un organismo de inspección, compuesto por miembros independientes con las acreditaciones profesionales necesarias y sujetos a la confidencialidad, seleccionado por el exportador de datos y, cuando corresponda, de conformidad con la autoridad de control;
7. pondrá a disposición de los interesados, previa petición de estos, una copia de las Cláusulas, o de cualquier contrato existente para el subprocesamiento de los datos, a menos que las Cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar esa información comercial, a excepción del Apéndice 2, que será sustituido por una descripción sumaria de las medidas de seguridad, en aquellos casos en que el interesado no pudiera obtener una copia directamente del exportador de datos;
8. que, en caso de subprocesamiento de los datos, habrá informado previamente al exportador de datos y obtenido previamente su consentimiento por escrito;
9. que los servicios de procesamiento por parte del subencargado del procesamiento se llevarán a cabo de conformidad con la Cláusula 11;
10. enviará sin demora al exportador de datos una copia de cualquier acuerdo con el subencargado del procesamiento que concluya con arreglo a las Cláusulas.

1. Las partes acuerdan que los interesados que hayan sufrido daños como consecuencia del incumplimiento de las obligaciones mencionadas en la Cláusula 3 o en la Cláusula 11 por cualquier parte o subencargado del procesamiento tendrán derecho a percibir una indemnización del exportador de datos para el daño sufrido.
2. En caso de que el interesado no pueda interponer contra el exportador de datos la demanda de indemnización a que se refiere el párrafo 1 por incumplimiento por parte del importador de datos o su subencargado de sus obligaciones impuestas en la Cláusula 3 o en la Cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolvente, el importador de datos acepta que el interesado pueda demandarle a él en el lugar del exportador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a esa entidad.
   El importador de datos no podrá basarse en un incumplimiento de un subencargado del procesamiento de sus obligaciones para eludir sus propias responsabilidades.
3. En caso de que el interesado no pueda interponer contra el exportador de datos o el importador de datos la demanda a que se refieren los Apartados 1 y 2, por incumplimiento por parte del subencargado del procesamiento de datos de sus obligaciones impuestas en la Cláusula 3 o en la Cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolventes ambos, tanto el exportador de datos como el importador de datos, el subencargado del procesamiento de datos acepta que el interesado pueda demandarle a él en cuanto a sus propias operaciones de procesamiento de datos en virtud de las Cláusulas en el lugar del exportador de datos o del importador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a esa entidad. La responsabilidad del subencargado del procesamiento se limitará a sus propias operaciones de procesamiento de datos con arreglo a las Cláusulas.

1. El importador de datos acuerda que, si el interesado invoca en su contra derechos de tercero beneficiario o reclama una indemnización por daños y perjuicios con arreglo a las Cláusulas, aceptará la decisión del interesado de:
   1. someter el conflicto a mediación por parte de una persona independiente o, si procede, por parte de la autoridad de control;
   2. someter el conflicto a los tribunales del Estado miembro donde resida el exportador de datos.
2. Las partes acuerdan que las opciones del interesado no obstaculizarán sus derechos sustantivos ni procedimentales a obtener reparación de conformidad con otras disposiciones de Derecho nacional o internacional.

Cláusula 8

Cooperación con las autoridades de control

1. El exportador de datos acuerda depositar una copia del presente contrato ante la autoridad de control si así lo requiere o si el depósito es exigido por la legislación de protección de datos aplicable.
2. Las partes acuerdan que la autoridad de control está facultada para auditar al importador, o a cualquier subencargado, en la misma medida y condiciones en que lo haría respecto del exportador de datos conforme a la legislación de protección de datos aplicable.
3. El importador de datos informará sin demora al exportador de datos en el caso de que la legislación existente aplicable a él o a cualquier subencargado no permitiera auditar al importador ni a los subencargados, con arreglo al Apartado 2. En tal caso, el importador de datos estará autorizado a adoptar las medidas previstas en el Inciso b) de la Cláusula 5.

Las Cláusulas se regirán por la legislación del Estado miembro donde resida el exportador de datos.

Las partes se comprometen a no variar o modificar las presentes Cláusulas. Esto no excluye que las partes agreguen cláusulas relacionadas con sus negocios en caso necesario, siempre que no contradigan las Cláusulas.

1. El importador de datos no subcontratará ninguna de sus operaciones de procesamiento llevadas a cabo en nombre del exportador de datos con arreglo a las Cláusulas sin previo consentimiento por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con arreglo a las Cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subencargado del procesamiento de datos, en el que se le impongan a este las mismas obligaciones impuestas al importador de datos con arreglo a las Cláusulas³. En los casos en que el subencargado del procesamiento de datos no pueda cumplir con sus obligaciones de protección de los datos con arreglo a ese acuerdo por escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos del cumplimiento de las obligaciones del subencargado del procesamiento de datos con arreglo a ese acuerdo.
2. El contrato escrito previo entre el importador de datos y el subencargado del procesamiento contendrá asimismo una cláusula de terceros beneficiarios, tal como se estipula en la Cláusula 3, para los casos en que el interesado no pudiera interponer la demanda de indemnización a que se refiere el Apartado 1 de la Cláusula 6 contra el exportador de datos o el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes, y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley. Esa responsabilidad civil del subencargado del procesamiento de datos se limitará a sus propias operaciones de procesamiento de datos con arreglo a las Cláusulas.
3. Las disposiciones sobre aspectos de la protección de los datos en caso de subcontratación de operaciones de procesamiento a que se refiere el Apartado 1 se regirán por la legislación del Estado miembro donde resida el exportador de datos.
4. El exportador de datos conservará la lista de los acuerdos de subtratamiento celebrados con arreglo a las Cláusulas y notificados por el importador de datos de conformidad con el Inciso j) de la Cláusula 5, lista que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos.

Obligaciones una vez finalizada la prestación de los servicios de procesamiento de los datos personales

1. Las partes acuerdan que, una vez finalizada la prestación de los servicios de procesamiento de los datos personales, el importador y el subencargado deberán, a discreción del exportador, o bien devolver todos los datos personales transferidos y sus copias, o bien destruirlos por completo y certificar esta circunstancia al exportador, a menos que la legislación aplicable al importador le impida devolver o destruir total o parcialmente los datos personales transferidos. En tal caso, el importador de datos garantiza que guardará el secreto de los datos personales transferidos y que no volverá a someterlos a procesamiento.
2. El importador de datos y el subencargado garantizan que, a petición del exportador o de la autoridad de control, pondrán a disposición sus instalaciones de procesamiento de los datos para que se lleve a cabo la auditoría de las medidas mencionadas en el Apartado 1.

Los términos que se muestran en mayúscula en las secciones A a C y los Apéndices, pero que no están definidos en las Cláusulas, tendrán el significado indicado en el Acuerdo de Dropbox Business entre el exportador de datos y Dropbox International Unlimited Company.

1. Auditoría de seguridad. El importador de datos cuenta con las certificaciones ISO/IEC 27001:2013 e ISO/IEC 27018:2014, emitidas por un auditor externo independiente. El importador de datos continuará sometiéndose a las auditorías periódicas de ISO/IEC 27001:2013 e ISO/IEC 27018 necesarias para mantener esas certificaciones para los Servicios durante el Plazo. El importador de datos también se somete periódicamente a auditorías de Control de Organizaciones de Servicio 2 (SOC 2) Tipo II. De conformidad con las obligaciones de confidencialidad del importador de datos y con una frecuencia máxima de una vez al año, el importador de datos brindará una copia del informe de SOC 2 Tipo II al exportador si este lo solicita por escrito. El importador de datos pondrá a disposición los nuevos informes de SOC 2 que se completen, de conformidad con sus requisitos de confidencialidad. El importador de datos controla periódicamente a sus organizaciones de subservicios externas, que se someten a auditorías de Control de Organizaciones de Servicio 1 (SOC 1) Tipo II o de Control de Organizaciones de Servicio 2 (SOC 2) Tipo II de conformidad con la Declaración de Normas de Compromisos de Certificación N.º 16 (SSAE 16) o con la Norma Internacional de Compromisos de Certificación N.º 3402 (ISAE 3402), en las cuales se evalúan el diseño y la eficacia de sus políticas, procedimientos y controles de seguridad.

   El exportador de datos acepta que las obligaciones del importador de datos estipuladas en esta Sección A satisfacen completamente los derechos de auditoría establecidos en el Inciso f) de la Cláusula 5 y el Apartado 2) de la Cláusula 12 de las Cláusulas.

2. Subprocesamiento. El importador de datos puede contratar a otras empresas para que proporcionen una parte limitada de los Servicios (incluidos los servicios de soporte) en su nombre, y el exportador de datos brinda su consentimiento para que el importador subcontrate el procesamiento de los datos personales a esos subencargados del procesamiento tal como se describe en las Cláusulas. El importador de datos se asegurará de que los subencargados del procesamiento solo accedan a los datos personales y los utilicen con el objetivo de brindar los Servicios según lo estipulado en un acuerdo celebrado por escrito entre el importador de datos y el subencargado del procesamiento. El exportador de datos reconoce que cualquier requisito aplicable al importador de datos en función de las Cláusulas con respecto a los acuerdos con los subencargados del procesamiento quedará completamente satisfecho siempre que el acuerdo entre el importador de datos y el subencargado del procesamiento brinde al menos el mismo nivel de protección requerido según el Acuerdo de Dropbox Business.
3. Responsabilidad. Las Cláusulas estarán sujetas a las limitaciones y exclusiones de responsabilidad incluidas en la sección de "Limitación de responsabilidad" del Acuerdo de Dropbox Business, de modo que la responsabilidad total del importador de datos y Dropbox International Unlimited Company, en conjunto, no superará los límites estipulados en el Acuerdo de Dropbox Business. Para evitar cualquier duda, se deja constancia de que el exportador de datos no podrá obtener resarcimiento tanto del importador de datos como de Dropbox International Unlimited Company en relación con el mismo daño.

El presente Apéndice forma parte integrante de las Cláusulas y deberá ser cumplimentado y suscrito por las partes.

Los Estados miembros podrán completar o especificar, de conformidad con sus procedimientos nacionales, cualquier información que deba incluirse en el presente Apéndice.

Exportador de datos

El exportador de datos es (especifique brevemente sus actividades correspondientes a la transferencia):

El Cliente que suscribe el Acuerdo de Dropbox Business con Dropbox International Unlimited Company.

Importador de datos

El importador de datos es (especifique brevemente sus actividades correspondientes a la transferencia):

Dropbox, Inc., un proveedor mundial de servicios en la nube para personas y empresas. Dropbox, Inc. y sus afiliados proporcionan un sitio web, software y aplicaciones para dispositivos móviles que permiten almacenar archivos, sincronizarlos en diversos dispositivos y colaborar con otras personas. También se puede acceder al servicio de Dropbox, Inc. mediante Interfaces de programación de aplicaciones (API).

Interesados

Los datos personales transferidos se refieren a las siguientes categorías de interesados (especifíquense):

Los usuarios finales del exportador de datos y de sus afiliados, incluidos sus empleados, consultores y contratistas, así como cualquier persona que colabore o comparta archivos con esos usuarios finales por medio de los servicios proporcionados por el importador de datos.

Categorías de datos

Los datos personales transferidos se refieren a las siguientes categorías de datos (especifíquense):

Información de identificación de los usuarios finales y datos de la organización (tanto en línea como sin conexión), así como documentos, imágenes y otros datos o contenidos en formato electrónico almacenados o transmitidos por los usuarios finales mediante los servicios del importador de datos.

Operaciones de procesamiento

Los datos personales transferidos se someterán a las operaciones básicas de procesamiento siguientes (especifíquense):

El importador de datos o sus subencargados del procesamiento utilizarán y procesarán los datos personales, y el exportador de datos le indica al importador que lo haga, para proporcionar los Servicios de conformidad con el Acuerdo de Dropbox Business.

El presente Apéndice forma parte integrante de las Cláusulas y deberá ser cumplimentado y suscrito por las partes.

Descripción de las medidas de seguridad técnicas y organizativas puestas en práctica por el importador de datos de conformidad con el Inciso d) de la Cláusula 4 y el Inciso c) de la Cláusula 5 (o documento o legislación adjuntos):

Contacto para cuestiones relacionadas con la privacidad de los datos

La dirección para comunicarse con el encargado de privacidad de los datos del importador de datos es privacy@dropbox.com.

Medidas de seguridad

El importador de datos implementó y mantendrá medidas administrativas, técnicas y físicas adecuadas para proteger los datos personales, tal como se describe en el Documento acerca de la seguridad de Dropbox Business (disponible desde su fecha de entrada en vigencia en: https://www.dropbox.com/…/Security_Whitepaper.pdf) y como se detalla adicionalmente a continuación. El importador de datos puede actualizar estas medidas de seguridad ocasionalmente (en ese caso, publicará la versión más reciente en la dirección URL mencionada anteriormente o en otra dirección informada por el importador de datos), pero deberá notificar al exportador de datos si actualiza las medidas de seguridad de un modo tal que disminuya considerablemente las características administrativas, técnicas o físicas de seguridad descritas en ese documento o en este Apéndice 2.

1. Seguridad del servicio
   1. Arquitectura de Dropbox. El servicio del importador de datos está diseñado con múltiples capas de protección, que abarcan la transferencia de datos, el cifrado, la configuración de red y los controles en el nivel de la aplicación, todas ellas distribuidas en una infraestructura segura y escalable. Los usuarios finales del servicio del importador de datos pueden acceder a los archivos y las carpetas en cualquier momento desde los clientes para escritorio, para Internet y para dispositivos móviles. Todos estos clientes se conectan a servicios seguros para ofrecer acceso a los archivos, permitir el uso compartido de archivos y actualizar los dispositivos vinculados cuando se agregan, modifican o eliminan archivos. Es posible usar el servicio y acceder a él a través de diferentes interfaces. Cada una de ellas tiene configuraciones y características de seguridad que procesan y protegen los datos a la vez que garantizan la facilidad de acceso.
   2. Fiabilidad. El servicio del importador de datos se desarrolló con múltiples capas de redundancia para ofrecer protección contra la pérdida de datos y para asegurar la disponibilidad.
   3. Cifrado. Para proteger los datos en tránsito entre el exportador de datos y el importador, el importador de datos aplica el protocolo de capa de sockets seguros (SSL)/seguridad de la capa de transporte (TLS) para la transferencia de datos, lo que crea un túnel seguro protegido por el estándar de cifrado avanzado (AES) de 128 bits o superior. Para los datos de archivos en almacenamiento, se utiliza cifrado AES de 256 bits. La infraestructura de administración de claves de cifrado del importador de datos está diseñada con controles de seguridad operativa, técnica y de procedimientos con un acceso directo a las claves muy limitado. La generación, el intercambio y el almacenamiento de claves de cifrado se distribuyen para permitir el procesamiento descentralizado.
   4. Características de administración para los usuarios. Los usuarios finales del servicio del importador de datos tienen la capacidad de restaurar archivos eliminados y de recuperar versiones anteriores de los archivos, lo que permite hacer un seguimiento de los cambios realizados en esos archivos y recuperarlos. Además, el servicio del importador de datos permite utilizar un procedimiento de autenticación en dos pasos que agrega una capa adicional de protección.
   5. Centros de datos. Los sistemas corporativos y de producción del importador de datos están alojados en centros de datos de organizaciones de subservicios de terceros ubicados en los Estados Unidos. El importador de datos revisa los informes de Control de Organizaciones de Servicio (SOC) 1 o SOC 2 de todos los centros de datos de organizaciones de subservicios como mínimo una vez al año para garantizar los controles de seguridad necesarios.
2. Seguridad de la información
   1. Políticas. El importador de datos redactó un estricto conjunto de políticas que abarcan las áreas de seguridad de la información, seguridad física, respuesta ante incidentes, acceso lógico, acceso a la producción física, administración de cambios y soporte. Estas políticas se revisan y aprueban como mínimo una vez al año. El personal del importador de datos se mantiene al tanto de los cambios en estas políticas y recibe capacitación en materia de seguridad.
   2. Políticas y acceso para el personal. Las políticas internas del importador de datos establecen procedimientos de incorporación y desvinculación de empleados que incluyen la comprobación de antecedentes (según lo permita la legislación local), la aceptación de políticas de seguridad, la comunicación de las actualizaciones a la política de seguridad, y la suscripción de acuerdos de confidencialidad. Todo tipo de acceso por parte del personal se elimina oportunamente cuando un empleado o contratista abandona la empresa. El importador de datos utiliza controles técnicos de acceso y políticas internas para prohibir a los empleados o contratistas acceder arbitrariamente a los datos de los archivos, y para limitar el acceso a los metadatos y otros tipos de información relacionada con las cuentas de los usuarios finales. A fin de proteger la privacidad y la seguridad de los usuarios finales, solamente un número reducido de empleados o contratistas tienen acceso al entorno en el que se almacenan los archivos de los usuarios finales. La gerencia lleva un registro de las solicitudes de acceso, las justificaciones y las autorizaciones, y las personas correspondientes conceden el acceso.
   3. Seguridad de la red. El importador de datos utiliza técnicas de seguridad y de supervisión de redes diseñadas para brindar múltiples capas de protección y defensa. El importador de datos aplica técnicas de protección estándares en la industria, como firewalls, supervisión de seguridad de redes y sistemas de detección de intrusiones, para asegurar que solamente el tráfico que cumpla con los requisitos pueda llegar a su infraestructura.
   4. Administración de cambios. El importador de datos se asegura de que se autoricen todos los cambios relacionados con la seguridad antes de su implementación en los entornos de producción. Los programadores que desean hacer una mejora en la aplicación o el servicio del importador de datos son quienes inician los cambios en el código fuente. Los cambios en la infraestructura del importador de datos están restringidos al personal autorizado únicamente. Todos los cambios en el nivel de aplicación de los servicios deben someterse a procedimientos automatizados de pruebas de aseguramiento de la calidad ("QA") para verificar que se cumplan los requisitos de seguridad. Una vez que se completan correctamente los procedimientos de QA, es posible implementar el cambio.
   5. Conformidad. El importador de datos, sus proveedores de centros de datos y su proveedor de servicios administrados se someten a auditorías de seguridad periódicas realizadas por un tercero independiente. El importador de datos continuará participando en auditorías periódicas de ISO/IEC 27001:2013 e ISO/IEC 27018:2014. El importador de datos también revisa los informes SOC 1 y SOC 2 de todas las organizaciones de subservicios. En caso de que el informe SOC 1 o SOC 2 de una organización de subservicios no esté disponible, el importador de datos lleva a cabo visitas de seguridad al sitio para verificar que los controles de seguridad física, ambiental y operativa aplicables cumplan con los criterios de control y los requisitos contractuales. Además, el importador de datos evalúa constantemente las certificaciones y declaraciones de conformidad adicionales que los proveedores de subservicios ponen a su disposición.
3. Seguridad física
   1. Infraestructura. El acceso físico a las instalaciones de organizaciones de subservicios donde residen los sistemas de producción está restringido al personal autorizado por el importador de datos, según se requiera para cumplir con sus funciones. Toda persona que requiera acceso adicional a las instalaciones del entorno de producción obtiene ese acceso a través de la autorización explícita por parte del gerente correspondiente.
   2. Oficina. El importador de datos cuenta con un equipo de seguridad física que es responsable de poner en práctica la política de seguridad física y de supervisar la seguridad de las oficinas corporativas del importador de datos. El acceso a las áreas de servicios corporativos está restringido únicamente al personal autorizado; esto se controla mediante un sistema de acceso por tarjeta de identificación que permite asignar roles superiores a determinadas personas.