Apéndice de procesamiento de datos de clientes de Couchbase Capella Cloud

El presente apéndice sobre tratamiento de datos (el "DPA") forma parte del Acuerdo de Suscripción al Servicio en la Nube de Capella, u otro acuerdo entre el Cliente y Couchbase que rija el uso del Servicio en la Nube por parte del Cliente. ("Acuerdo"), entre Couchbase, Inc. ("Couchbase") y la parte identificada como el "Cliente" en el Acuerdo ("Cliente") (cada uno de ellos un "Fiesta" y juntos, el "Fiestas").

El presente APD describe los compromisos de las Partes relativos al tratamiento de Datos Personales en relación con el uso del Servicio en la Nube por parte del Cliente. En caso de conflicto entre los términos del Acuerdo y los términos del presente APD, prevalecerán los términos del presente APD en la medida de dicho conflicto. Cualquier término en mayúsculas no definido en el presente APD tendrá el significado que se le atribuye en el Acuerdo.

Las Partes acuerdan lo siguiente:

1. 1. Definiciones. Los siguientes términos en mayúsculas, cuando se utilicen en el presente APD, tendrán los significados correspondientes que se indican a continuación:

a. "Legislación aplicable en materia de protección de datos" se refiere a todas las leyes, reglamentos, normas, ordenanzas y otros decretos mundiales de privacidad y protección de datos aplicables a los Datos Personales, incluidos (entre otros): (i) las Leyes Europeas de Protección de Datos; y (ii) todas las leyes y reglamentos de los Estados Unidos, incluida la Ley de Privacidad del Consumidor de California de 2018 (California Civil Code §§ 1798.100 et seq ("CCPA"); según pueda ser modificada, sustituida o reemplazada.

b. "Datos del cliente" significa cualquier Dato Personal procesado por Couchbase en nombre del Cliente como proveedor de servicios o procesador (según corresponda) en relación con el Servicio en la Nube, como se describe más particularmente en el Anexo A de esta DPA.

c. "EEE"los Estados miembros de la Unión Europea, más Islandia, Liechtenstein y Noruega.

d. "Legislación europea sobre protección de datos": i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) ("GDPR"); (ii) la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas ("Directiva sobre privacidad electrónica"); (iii) cualquier aplicación nacional aplicable de (i) y (ii); (iv) la Ley Federal Suiza de Protección de Datos de 19 de junio de 1992 y su Ordenanza ("FDPA suizo"); y (v) con respecto al Reino Unido, la Ley de Protección de Datos de 2018 y cualquier legislación nacional aplicable que sustituya o convierta en legislación nacional el GDPR, la Directiva sobre privacidad electrónica o cualquier otra ley relacionada con los datos y la privacidad como consecuencia de la salida del Reino Unido de la Unión Europea; en cada caso, según se modifique, sustituya o reemplace.

e. "Cláusulas tipo"se entenderá, en función de las circunstancias específicas de cada Cliente, cualquiera de los siguientes elementos: (i) las cláusulas contractuales tipo para encargados del tratamiento aprobadas por la Comisión Europea en virtud de su Decisión 2021/914 (la "2021 Cláusulas Contractuales Tipo".) y (ii) las Cláusulas Contractuales Tipo del Reino Unido, cada una de ellas denominada alternativamente Cláusulas Contractuales Tipo, que se incorporan por referencia y forman parte del presente APD.

f. "Datos personales"toda información relativa a una persona física identificada o identificable y que esté protegida como "datos personales“, “información personal" o "información personal identificable" en virtud de la legislación aplicable en materia de protección de datos.

g. "Incidente de seguridadPor "Incidente de Seguridad" se entenderá cualquier violación de la seguridad que conduzca a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos del Cliente transmitidos, almacenados o procesados de otro modo por Couchbase y/o sus Subprocesadores en relación con la prestación del Servicio en la Nube. Las Partes reconocen y acuerdan que "Incidente de Seguridad" no incluirá intentos fallidos o actividades que no comprometan la seguridad de los Datos del Cliente, incluyendo intentos fallidos de inicio de sesión, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques de red en firewalls o sistemas en red.

h. "SubprocesadorSubprocesador" significa cualquier procesador contratado por Couchbase o sus Afiliados para ayudar en el cumplimiento de sus obligaciones con respecto a la prestación del Servicio en la Nube de conformidad con el Acuerdo o este DPA. Los subprocesadores pueden incluir terceros o Afiliados de Couchbase, pero excluirán a cualquier empleado, contratista o consultor de Couchbase.

i. "Cláusulas contractuales tipo del Reino Unido"(i) las cláusulas contractuales tipo para las transferencias de datos entre responsables y encargados del tratamiento aprobadas por la Comisión Europea en la Decisión 2010/87/UE ("SCC de controlador a procesador del Reino Unido"); y (ii) las cláusulas contractuales tipo para las transferencias entre responsables del tratamiento de datos aprobadas por la Comisión Europea en la Decisión 2004/915/CE ("SCC de controlador a controlador en el Reino Unido").

j. Los términos "controlador", "procesador" y "procesamiento"tendrán el significado que se les atribuye en el RGPD, y "proceso", "procesa" y "procesado"se interpretarán en consecuencia; y los términos "empresa", "proveedor de servicios" y "vender"tendrán el significado que se les da en la CCPA.

2. Función y alcance del tratamiento

a. Alcance. Sujeto a la Sección 2(b), esta DPA se aplica en la medida en que Couchbase procese como procesador o proveedor de servicios (según corresponda) cualquier Dato del Cliente protegido por las Leyes de Protección de Datos Aplicables.

b. Papel de las partes. Las partes reconocen y aceptan que (i) con respecto al tratamiento de los Datos del Cliente, el Cliente es la empresa, el responsable o el encargado del tratamiento (según corresponda) pertinente de dichos Datos del Cliente, y Couchbase es un proveedor de servicios, encargado del tratamiento o subencargado del tratamiento (según corresponda) en nombre del Cliente, como se describe con más detalle en el Anexo A de esta DPA; y (ii) con respecto a los Datos Personales incluidos en cualquier dato técnico de uso que Couchbase recopile en relación con el uso del Servicio en la Nube por parte del Cliente ("Datos de uso"), Couchbase es la empresa pertinente o responsable del tratamiento de los Datos de Uso y tratará los Datos de Uso de conformidad con la política de privacidad de Couchbase disponible en https://www.couchbase.com/privacy-policy. Cada una de las Partes cumplirá con todas las leyes, normas y reglamentos que le sean aplicables y vinculantes en la ejecución de este DPA, incluyendo cualquier Ley de Protección de Datos Aplicable. Con respecto a los Datos de Uso, Couchbase procesará dichos datos en cumplimiento únicamente de las Secciones 8(a)(iii) y (iv), en la medida en que sean aplicables.

c. Tratamiento de datos personales por parte de Couchbase. Couchbase acuerda que procesará los Datos del Cliente únicamente para los fines descritos en la DPA y de conformidad con las instrucciones legales documentadas del Cliente. Las partes acuerdan que el Acuerdo (incluyendo esta DPA) establece las instrucciones completas y finales del Cliente a Couchbase en relación con el procesamiento de los Datos del Cliente y el procesamiento fuera del alcance de estas instrucciones (si las hubiera) requerirá un acuerdo previo por escrito entre el Cliente y Couchbase. Sin perjuicio de la Sección 2(d) (Responsabilidades del Cliente), Couchbase notificará al Cliente por escrito, a menos que se le prohíba hacerlo en virtud de las Leyes de Protección de Datos Aplicables, y podrá suspender el procesamiento de los Datos del Cliente, si tiene conocimiento o cree que cualquier instrucción de procesamiento de datos del Cliente viola las Leyes de Protección de Datos Aplicables.

d. Responsabilidades del cliente. El Cliente es responsable de la legalidad del procesamiento de los Datos del Cliente bajo o en conexión con el Acuerdo. El Cliente declara y garantiza que (i) ha proporcionado, y seguirá proporcionando, toda la notificación y obtenido, y seguirá obteniendo, todos los consentimientos, permisos y derechos necesarios en virtud de las Leyes de Protección de Datos Aplicables para que Couchbase procese legalmente los Datos del Cliente para los fines contemplados en el Acuerdo (incluido este DPA); (ii) ha cumplido con todas las Leyes de Protección de Datos Aplicables como controlador y/o negocio de Datos del Cliente para la recolección y provisión a Couchbase y sus Sub-procesadores de dichos Datos del Cliente; y (iii) se asegurará de que sus instrucciones de procesamiento cumplan con las leyes aplicables (incluyendo las Leyes de Protección de Datos Aplicables) y que el procesamiento de Datos del Cliente por Couchbase de acuerdo con las instrucciones del Cliente no causará que Couchbase incumpla las Leyes de Protección de Datos Aplicables.

e. Datos agregados. No obstante lo anterior o cualquier disposición en contrario en el Acuerdo (incluyendo este DPA), el Cliente reconoce que Couchbase y sus Afiliados tendrán derecho a recopilar y crear información anonimizada, agregada y/o desidentificada (según lo definido por las Leyes de Protección de Datos Aplicables) para su propio negocio legítimo.

3. Subprocesamiento

a. Subprocesadores autorizados. El Cliente reconoce y acepta que Couchbase puede contratar Subprocesadores para procesar los Datos del Cliente en nombre del Cliente. Los Sub-procesadores actualmente contratados por Couchbase y autorizados por el Cliente están listados en el sitio web de Couchbase (actualmente publicado en https://info.couchbase.com/cloud-subprocessors.html). Por lo menos quince (15) días antes de cualquier adición de un nuevo subprocesador, Couchbase actualizará el sitio web aplicable y proporcionará al Cliente una notificación de dicha actualización a través del mecanismo proporcionado en dicho sitio web de Couchbase, excepto que si Couchbase cree razonablemente que la contratación de un nuevo Subprocesador de forma acelerada es necesaria para proteger la confidencialidad, integridad o disponibilidad de los Datos del Cliente o evitar una interrupción material del Servicio en la Nube, Couchbase en su lugar dará tal aviso tan pronto como sea razonablemente posible.

4. Seguridad y auditorías

a. Medidas de seguridad.  Couchbase implementará y mantendrá medidas de seguridad técnicas y organizativas apropiadas diseñadas para proteger los Datos del Cliente bajo su control de Incidentes de Seguridad y para preservar la seguridad y confidencialidad de los Datos del Cliente, teniendo en cuenta el estado de la técnica, los costes de implementación y la naturaleza, alcance, contexto y fines del tratamiento ("Medidas de seguridad"). Dichas Medidas de Seguridad incluirán, como mínimo, aquellas medidas descritas en el Anexo B de este DPA. Couchbase se asegurará de que cualquier persona que esté autorizada por Couchbase para procesar los Datos del Cliente en virtud de esta DPA estará bajo una obligación apropiada de confidencialidad (ya sea un deber contractual o legal).

b. Actualización de las medidas de seguridad. El Cliente reconoce que las Medidas de Seguridad están sujetas al progreso y desarrollo técnico y que Couchbase puede actualizar o modificar las Medidas de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad general del Servicio en la Nube adquirido por el Cliente.

c. Responsabilidades de seguridad del cliente. Sin perjuicio de lo anterior, el Cliente acepta que, salvo lo dispuesto en el presente APD, el Cliente implementará y mantendrá medidas de seguridad técnicas y organizativas apropiadas diseñadas para proteger de Incidentes de Seguridad y preservar la seguridad y confidencialidad de los Datos del Cliente mientras estén bajo su dominio y control. El Cliente es responsable de (i) proteger la seguridad de todas las credenciales del Cliente utilizadas para acceder al Servicio en la Nube; (ii) asegurar el Entorno en la Nube del Cliente y cualquier Sistema del Cliente (con medidas que incluyan, sin limitación, la rotación periódica de las claves de acceso y otras medidas estándar del sector para impedir el acceso no autorizado); (iii) realizar copias de seguridad y asegurar los Datos del Cliente bajo el control del Cliente dentro del Entorno en la Nube del Cliente u otro sistema controlado por el Cliente; y (iv) revisar la información puesta a disposición por Couchbase en relación con la seguridad y privacidad de los datos y tomar una determinación independiente sobre si el Servicio en la Nube cumple con los requisitos del Cliente y las obligaciones legales en virtud de la Ley de Protección de Datos Aplicable.

d. Respuesta a incidentes de seguridad. En la medida requerida por las Leyes de Protección de Datos Aplicables, al tener conocimiento de un Incidente de Seguridad, Couchbase notificará al Cliente sin demora indebida y deberá: (i) para ayudar al Cliente en relación con cualquier notificación de violación de datos personales que el Cliente esté obligado a realizar en virtud de las Leyes de Protección de Datos Aplicables, Couchbase incluirá en dicha notificación al Cliente información oportuna relacionada con el Incidente de Seguridad a medida que se conozca, según lo solicite razonablemente el Cliente, teniendo en cuenta la naturaleza del Servicio en la Nube, la información disponible para Couchbase y cualquier restricción a la divulgación de la información, como la confidencialidad; y (ii) tomar rápidamente las medidas, consideradas necesarias y razonables por Couchbase, para contener, investigar y remediar cualquier Incidente de Seguridad, en la medida en que la remediación esté dentro del control razonable de Couchbase. La notificación de Couchbase o la respuesta a un Incidente de Seguridad bajo esta Sección 4(d) no se interpretará como un reconocimiento por parte de Couchbase de cualquier culpa o responsabilidad con respecto al Incidente de Seguridad. Las obligaciones establecidas en este documento no se aplicaran a Incidentes de Seguridad en la medida en que sean causados por el Cliente o sus Usuarios Autorizados.

e. Auditorías de seguridad. Couchbase proporcionará respuestas por escrito (de forma confidencial) a todas las solicitudes razonables de información por escrito realizadas por el Cliente en relación con el procesamiento de Datos del Cliente por parte de Couchbase, incluyendo respuestas a cuestionarios de seguridad de la información y de auditoría que sean necesarios para confirmar el cumplimiento de Couchbase con esta DPA, siempre que el Cliente no ejerza este derecho más de una vez en cualquier período de doce (12) meses consecutivos. Sin perjuicio de lo anterior, el Cliente también podrá ejercer dicho derecho de auditoría en el caso de que el Cliente sea expresamente requerido o obligado a proporcionar esta información a una autoridad de protección de datos, o Couchbase haya experimentado un Incidente de Seguridad, o sobre otra base razonablemente similar.

5. Transferencias internacionales

a. Lugares de procesamiento. El Cliente reconoce y acepta que Couchbase puede transferir y procesar Datos del Cliente a y en los Estados Unidos y en cualquier otro lugar del mundo donde Couchbase, sus Afiliados o sus Subprocesadores mantengan operaciones de procesamiento de datos. Couchbase se asegurará en todo momento de que dichas transferencias se realicen de conformidad con los requisitos de las Leyes de Protección de Datos Aplicables y esta DPA.

6. Supresión de datos de clientes

a. El Servicio en la nube proporcionará al Cliente controles que el Cliente podrá utilizar para eliminar o recuperar los Datos del cliente durante el plazo de vigencia de forma coherente con la funcionalidad del Servicio en la nube.

b. Por la presente, el Cliente autoriza a Couchbase, a la terminación o expiración del Acuerdo, o en caso de terminación o suspensión del Servicio en la Nube de conformidad con el Acuerdo, a eliminar todos los Datos del Cliente (incluidas las copias) en su posesión o control de conformidad con el Acuerdo, con la salvedad de que este requisito no se aplicará en la medida en que Couchbase esté obligado por la legislación aplicable a conservar algunos o todos los Datos del Cliente.

7. Derechos de las personas y cooperación

a. Solicitudes de los interesados. El Servicio en la nube proporciona al Cliente una serie de controles, incluidas características y funcionalidades de seguridad, que el Cliente puede utilizar para recuperar, corregir, eliminar o restringir los Datos del cliente, tal y como se describe en cualquier documentación aplicable al Servicio en la nube. Sin perjuicio de lo dispuesto en la Sección 4(a), el Cliente puede utilizar estos controles como medidas técnicas y organizativas para ayudarle en relación con sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables, incluidas sus obligaciones relativas a responder a las solicitudes de los interesados. En la medida en que el Cliente no pueda acceder de forma independiente a los Datos del Cliente relevantes dentro del Servicio en la Nube, Couchbase deberá, teniendo en cuenta la naturaleza del procesamiento, proporcionar una cooperación razonable para ayudar al Cliente a responder a cualquier solicitud de particulares o autoridades de protección de datos aplicables relacionadas con el procesamiento de los Datos del Cliente en virtud del Acuerdo. En el caso de que cualquier solicitud de este tipo se haga a Couchbase directamente, Couchbase no responderá a dicha comunicación directamente sin la autorización previa del Cliente, a menos que esté legalmente obligado a hacerlo. Si Couchbase está obligado a responder a dicha solicitud, Couchbase deberá notificar con prontitud al Cliente y proporcionarle una copia de la solicitud, a menos que esté legalmente prohibido hacerlo.

b. Citaciones y órdenes judiciales. Si una agencia de aplicación de la ley envía a Couchbase una demanda de Datos del Cliente (por ejemplo, a través de una citación u orden judicial), Couchbase dará al Cliente un aviso razonable de la demanda para permitir al Cliente buscar una orden de protección u otro remedio apropiado a menos que Couchbase esté legalmente prohibido de hacerlo.

8. Condiciones específicas de la jurisdicción

a. Europa. En la medida en que los Datos del Cliente estén sujetos a las Leyes Europeas de Protección de Datos, se aplicarán los siguientes términos además de los términos del resto de este APD:

i. Obligaciones del subencargado del tratamiento. Couchbase deberá: (A) celebrar un acuerdo por escrito con cada Subencargado del tratamiento en el que se impongan condiciones de protección de datos que exijan al Subencargado del tratamiento proteger los datos personales según el estándar exigido por la Ley europea de protección de datos aplicable y el presente APD; y (B) seguir siendo responsable de su cumplimiento de las obligaciones del presente APD y de cualquier acto u omisión del Subencargado del tratamiento que provoque el incumplimiento por parte de Couchbase de cualquiera de sus obligaciones en virtud del presente APD.

ii. Objeciones a los subprocesadores. El Cliente podrá oponerse por escrito a la designación por parte de Couchbase de un nuevo Subprocesador por motivos razonables relacionados con la protección de datos (por ejemplo, si poner los Datos del Cliente a disposición del Subprocesador puede violar la Ley Europea de Protección de Datos o debilitar las protecciones de dichos Datos del Cliente) notificando a Couchbase puntualmente por escrito dentro de los cinco (5) días naturales siguientes a la recepción de la notificación de Couchbase de conformidad con la Sección 3(a) anterior. Dicha notificación explicará los motivos razonables de la objeción y las partes discutirán dichas preocupaciones de buena fe con el fin de lograr una resolución comercialmente razonable. Si no se puede llegar a tal resolución, Couchbase, a su sola discreción, o bien no designará Sub-procesador, o permitirá al Cliente suspender o terminar el Servicio en la Nube afectado de conformidad con las disposiciones de terminación en el Acuerdo sin responsabilidad para ninguna de las partes (pero sin perjuicio de los honorarios incurridos por el Cliente antes de la suspensión o terminación). A menos que se haga una objeción como se establece en esta Sección 8(a)(ii), el Cliente consiente el uso de sub-procesadores por parte de Couchbase como se describe en este DPA.

iii. Transferencias de datos. En la medida en que Couchbase procese (o haga que se procese) cualquier dato personal protegido por las Leyes Europeas de Protección de Datos en un tercer país no reconocido como proveedor de protección adecuada de datos personales (tal y como se describe en las Leyes Europeas de Protección de Datos), entonces los términos y condiciones del Anexo C (Transferencia de datos) y el Cliente (como exportador de datos) se considerará que ha entrado en las Cláusulas Modelo con Couchbase (como importador de datos) y Couchbase se compromete a cumplir y procesar los Datos del Cliente en el cumplimiento de las Cláusulas Modelo, que se incorporan en su totalidad por referencia y forman parte integrante de este DPA. A los efectos de las descripciones en las Cláusulas Modelo: (A) Couchbase se compromete a que es un "importador de datos" y el Cliente es el "exportador de datos" (a pesar de que el Cliente puede ser una entidad situada fuera del EEE o el Reino Unido), (B) Anexo A y Anexo B de este DPA sustituirá el Apéndice 1 y Apéndice 2 de las Cláusulas Modelo. No es la intención de ninguna de las partes, ni el efecto de este DPA, contradecir o restringir ninguna de las disposiciones establecidas en las Cláusulas Modelo. En consecuencia, si y en la medida en que las Cláusulas Modelo entren en conflicto con cualquier disposición de este DPA, las Cláusulas Modelo prevalecerán en la medida de dicho conflicto. Las Cláusulas Modelo no se aplicarán a los Datos del Cliente que no se transfieran, ni directamente ni mediante transferencia ulterior, fuera del EEE o del Reino Unido.

iv. Mecanismo alternativo de transferencia. Si y en la medida en que Couchbase adopte una solución alternativa de exportación de datos para la transferencia de Datos del Cliente según lo prescrito por las Leyes Europeas de Protección de Datos aplicables ("Mecanismo alternativo de transferencia"), se aplicará en su lugar el Mecanismo Alternativo de Transferencia (pero sólo en la medida en que dicho Mecanismo Alternativo de Transferencia se aplique a la transferencia).

v. Evaluación de impacto de la protección de datos. En la medida en que Couchbase sea requerido bajo la Ley Europea de Protección de Datos aplicable, Couchbase proporcionará la información razonablemente solicitada con respecto al procesamiento de datos personales de Couchbase bajo el Acuerdo para permitir al Cliente llevar a cabo evaluaciones de impacto de protección de datos o consultas previas con las autoridades de supervisión según lo requerido por la ley.

b. California. En la medida en que los Datos del Cliente estén sujetos a la CCPA, las partes acuerdan que el Cliente es una empresa y que designa a Couchbase como su proveedor de servicios para procesar los Datos del Cliente según lo permitido por el Acuerdo (incluida esta DPA) y la CCPA, o para fines acordados de otro modo por escrito (la "Fines permitidos"). El Cliente y Couchbase acuerdan que: (i) Couchbase no retendrá, usará o divulgará información personal para ningún propósito que no sean los Propósitos Permitidos; (ii) Los Datos del Cliente no fueron vendidos a Couchbase y Couchbase no "venderá" información personal (según lo definido por la CCPA); (iii) Couchbase no retendrá, usará o divulgará información personal fuera de la relación comercial directa entre el Cliente y Couchbase; y (iv) Couchbase puede desidentificar o agregar información personal en el curso de la prestación del Servicio en la Nube. Couchbase certifica que entiende las restricciones establecidas en esta Sección 8(b) y que las cumplirá.

9. 9. Limitación de responsabilidad

a. La responsabilidad de cada una de las Partes y de todas sus Afiliadas, consideradas conjuntamente en su conjunto, derivada de o relacionada con este DPA (incluyendo las Cláusulas Modelo) ya sea contractual, extracontractual (incluyendo negligencia) o bajo cualquier otra teoría de responsabilidad, estará sujeta a las limitaciones y exclusiones de responsabilidad del Acuerdo, y cualquier referencia en las disposiciones a la responsabilidad de una parte significa la responsabilidad agregada de esa parte y de todas sus Afiliadas bajo y en relación con el Acuerdo y este DPA conjuntamente.

b. Excepto cuando las Leyes de Protección de Datos Aplicables requieran que un Afiliado del Cliente ejerza un derecho o busque cualquier remedio bajo este DPA contra Couchbase directamente por sí mismo, las partes acuerdan que (i) únicamente la entidad del Cliente que es la parte contratante del Acuerdo ejercerá cualquier derecho o buscará cualquier remedio que cualquier Afiliado del Cliente pueda tener bajo este DPA en nombre de sus Afiliados, y (ii) el Cliente que es la parte contratante del Acuerdo ejercerá cualquiera de tales derechos bajo este DPA no por separado para cada Afiliado individualmente sino de manera combinada para todos sus Afiliados juntos.

10. Varios

a. Salvo por los cambios introducidos por el presente APD, el Acuerdo permanece inalterado y en pleno vigor y efecto.

b. El presente APD podrá ejecutarse por duplicado, cada uno de los cuales se considerará un original, pero todos juntos constituirán un único y mismo instrumento.

c. Si alguna disposición o disposición parcial del presente APD es o deviene inválida, ilegal o inaplicable, se considerará suprimida, pero ello no afectará a la validez y aplicabilidad del resto del APD.

d. El presente APD se regirá e interpretará de conformidad con las disposiciones sobre legislación aplicable y jurisdicción contenidas en el Acuerdo, salvo que la legislación europea sobre protección de datos disponga otra cosa.

 

Este Anexo A forma parte de la DPA y describe (i) el procesamiento que Couchbase realizará de los Datos del Cliente como procesador o subprocesador en nombre del Cliente como controlador o procesador, según corresponda, y (ii) las transferencias de Datos de Uso que Couchbase realizará como controlador.

1) Datos del cliente

Duración

La duración del tratamiento de datos en virtud del presente APD es hasta la terminación del Acuerdo de conformidad con sus términos, más el período comprendido entre la expiración del Acuerdo y la supresión de los datos personales por parte de Couchbase de conformidad con los términos del Acuerdo (incluido el presente APD).

Categorías de datos

Los datos personales que se tratarán se refieren a las siguientes categorías de datos (especifique):

● Datos personales en el contenido de los clientes: Datos Personales incluidos en contenidos o datos proporcionados por o en nombre del Cliente o de los Usuarios Autorizados por o a través del Servicio en la Nube.

Categorías especiales de datos (si procede)

Las partes no tienen intención de tratar datos de categoría especial en virtud del Acuerdo.

Interesados

Los datos personales que se van a tratar se refieren a las siguientes categorías de interesados (especifíquese):

Los sujetos de datos incluyen individuos sobre los que se proporcionan datos a Couchbase a través del Servicio en la Nube por o bajo la dirección del Cliente, incluidos los Usuarios Autorizados. Los sujetos de datos pueden incluir clientes, empleados, proveedores y usuarios finales del Cliente.

Operaciones de tratamiento

Los datos personales serán objeto de las siguientes actividades básicas de tratamiento (especifíquese):
● procesamiento para prestar el Servicio en la nube de conformidad con el Acuerdo;
● procesamiento para realizar cualquier trámite necesario para la ejecución del Acuerdo;
● el procesamiento iniciado por el Cliente en su uso del Servicio en la nube; y
● procesamiento para cumplir con otras instrucciones razonables proporcionadas por el Cliente (por ejemplo, a través de correo electrónico o tickets de soporte) que sean coherentes con los términos del Acuerdo.

Frecuencia
Los datos personales pueden transferirse continuamente.

ii) Datos de uso

Duración

Los Datos de Uso se transfieren y mantienen durante el plazo del Acuerdo pertinente más el período durante el cual los Datos de Uso son necesarios para los esfuerzos comerciales legítimos de Couchbase. Algunos registros agregados y anónimos de las acciones de los usuarios pueden conservarse de forma permanente.

Categorías de datos

Los datos personales que se transferirán se refieren a las siguientes categorías de datos (especifique):

●  Datos personales en los datos de uso: Los Datos de Uso pueden incluir información de la cuenta de usuario, incluyendo el ID de la cuenta y la dirección de correo electrónico; información de identificación personal, incluyendo la dirección IP; información de empleo; información de contacto; información del navegador y metadatos.

Categorías especiales de datos (si procede)

Las partes no tienen intención de transferir datos de categoría especial en virtud del Acuerdo.

Interesados

Los datos personales que se van a tratar se refieren a las siguientes categorías de interesados (especifíquese):

● Los sujetos de datos pueden incluir al Cliente, los empleados del Cliente y otros Usuarios Autorizados y cualquier otro colaborador permitido.

Operaciones de tratamiento

Los datos personales serán objeto de las siguientes actividades básicas de tratamiento (especifíquese):

● procesamiento para proporcionar y administrar los productos, servicios y asistencia;
● Procesamiento para obtener información con el fin de mejorar los productos, servicios y asistencia y apoyar el desarrollo empresarial;
● Procesamiento para captar y responder a las preguntas de los clientes, realizar actividades de marketing y ventas y analizar metadatos empresariales.

Frecuencia

Los datos personales pueden transferirse continuamente.

 

Este Anexo describe las Medidas de Seguridad de Couchbase. El Cliente reconoce que el Servicio en la Nube opera de conformidad con un modelo de responsabilidad compartida, que requiere, entre otras cosas, que el Cliente tome ciertas medidas tales como la protección de la seguridad del Contenido del Cliente (que permanece almacenado dentro del entorno del Cliente bajo su control). Si y en la medida en que Couchbase procese Datos del Cliente en nombre del Cliente en relación con el Servicio en la Nube o transfiera cualquier Dato de Uso sujeto a las Cláusulas Contractuales Estándar, Couchbase implementará y mantendrá las siguientes Medidas de Seguridad:

Medidas de cifrado de datos

Todos los datos de los clientes se cifran en tránsito mediante TLS 1.2 (o superior) y en reposo mediante cifrado AES-256.
● Los portátiles de los empleados están encriptados mediante cifrado AES-256 de disco completo.
Todas las credenciales se cifran en tránsito mediante TLS 1.2 (o superior) y se cifran en reposo.
Las claves de cifrado se rotan anualmente y se almacenan y administran en AWS Key Management Service.

Medidas de disponibilidad y recuperabilidad

● Couchbase mantiene planes y procedimientos de Recuperación de Desastres y Continuidad del Negocio que están diseñados para garantizar razonablemente la disponibilidad del Servicio en la Nube.
● La oferta de Couchbase Capella se despliega en centros de datos distribuidos geográficamente operados por proveedores de servicios de nube pública reconocidos en el sector, como Amazon (AWS), Microsoft (Azure) y Google (GCP) (según corresponda).
● La redundancia está integrada en la infraestructura del sistema que soporta la oferta de Couchbase Capella. En caso de que falle un sistema primario, la infraestructura redundante en otra zona de disponibilidad está configurada para ocupar su lugar.
● Las copias de seguridad se almacenan en entornos controlados dentro de la infraestructura de la nube. El acceso lógico a los datos de las copias de seguridad está restringido al personal adecuado y se guarda en un almacenamiento de alta disponibilidad.
● Anualmente, se realiza una prueba de restauración de copias de seguridad en la que el personal de operaciones restaura una copia de seguridad a partir de una instantánea para garantizar que los datos podrían recuperarse en caso de incidente.

Medidas de seguridad de la organización

● Couchbase ha establecido un Sistema de Gestión de Seguridad de la Información (SGSI) formal con el fin de proteger la confidencialidad, integridad y disponibilidad de la oferta de Couchbase Capella y los sistemas de información, y para garantizar la eficacia de los controles de seguridad sobre los datos y los sistemas de información.
● Los empleados deben recibir formación anual en materia de lucha contra el soborno y la corrupción, ética y código de conducta, uso de información privilegiada, privacidad global de datos y concienciación sobre seguridad.
● Los empleados deben firmar acuerdos de no divulgación y confidencialidad en el momento de su contratación.
Existen políticas y procedimientos formales para las actividades de incorporación y desincorporación de empleados. Se definen y aplican procesos de provisión y desprovisión de cuentas.
● El acceso de los empleados se elimina en caso de cese o se ajusta según sea necesario como resultado de un cambio de función.
● Se aplica la autenticación multifactor (MFA) para acceder a los recursos críticos y de producción.
● Se aplican los requisitos de complejidad de las contraseñas.
● Se aplica la segregación de responsabilidades y funciones para reducir las oportunidades de modificación o uso indebido no autorizado o no intencionado.
● Couchbase mantiene firmados acuerdos de confidencialidad con terceros.
Las redes de Couchbase están segregadas por niveles de confianza y protegidas por cortafuegos.

Medidas de registro y control

● Se habilita el registro de actividades de usuario, excepciones, fallos y eventos de seguridad de la información. Los registros se conservan, según sea necesario.
● Solo los empleados autorizados de Couchbase pueden acceder a todos los registros y existen controles de acceso para evitar accesos no autorizados.
● El acceso de escritura a los datos de registro está estrictamente prohibido. Las instalaciones de registro y la información de registro están protegidas contra la manipulación y el acceso no autorizado mediante el uso de controles de acceso y medidas de seguridad.
● Couchbase dispone de varias medidas de supervisión para generar alertas de seguridad e identificar actividades irregulares.
● El equipo de operaciones de Couchbase Capella revisa regularmente las alertas de seguridad y su configuración subyacente para asegurarse de que funcionan según lo previsto y de que los controles se modifican a medida que cambian las condiciones.

Medidas de control de acceso

● Couchbase implementa las mejores prácticas de seguridad y utiliza una arquitectura de seguridad basada en roles en toda la base de datos, la red y las capas de aplicación, y sigue estrictamente los principios de mínimo privilegio al otorgar acceso a sistemas clave.
● Couchbase ha definido funciones y roles de trabajo para apoyar la adecuada segregación de funciones.
● El acceso a los entornos operativos, de producción y de recuperación ante desastres está protegido mediante el uso de cuentas de usuario únicas, contraseñas seguras, el uso de autenticación multifactor (MFA), el acceso basado en funciones y el principio de mínimos privilegios.
Las claves de acceso utilizadas por las aplicaciones de producción de Couchbase (por ejemplo, las claves de acceso de AWS) solo son accesibles para el personal autorizado. Se rotan (cambian) según sea necesario (por ejemplo, en virtud de un aviso de seguridad o una salida de personal) y al menos una vez al año.
● Se registra la actividad de los usuarios en entornos operativos, incluido el acceso, la modificación o la eliminación de datos.
● Las solicitudes de autorización y el aprovisionamiento se registran, rastrean y auditan.
● Se despliegan cortafuegos de aplicaciones web (WAF), además de los cortafuegos basados en red.

Medidas de seguridad física

● La oferta de Couchbase Capella se despliega en centros de datos distribuidos geográficamente operados por proveedores de servicios de nube pública reconocidos en el sector, como Amazon (AWS), Microsoft (Azure) y Google (GCP) (según corresponda).
● Se restringe y gestiona el acceso físico a todas las instalaciones que contienen datos sensibles.
● Todas las instalaciones de recursos de información (por ejemplo, armarios de red y almacenes) están protegidas físicamente en proporción a la criticidad o importancia de su función.
● El acceso a las instalaciones de recursos de información se concede únicamente al personal de la empresa y a los contratistas cuyas responsabilidades laborales requieran el acceso a dichas instalaciones.
● Todas las instalaciones de recursos de información que permiten el acceso a visitantes están configuradas para realizar un seguimiento del acceso de los visitantes con un registro de inicio de sesión.
● Los registros de acceso con tarjeta y los registros de visitantes de las instalaciones de recursos de información se conservan para su revisión rutinaria en función de la criticidad de los recursos de información que se protegen.
● Los equipos están protegidos para reducir los riesgos derivados de amenazas ambientales, peligros y oportunidades de acceso no autorizado.

Configuraciones seguras del sistema

● Couchbase cuenta con una política y un procedimiento de gestión de cambios.
● Couchbase supervisa los cambios en los sistemas dentro del ámbito de aplicación para garantizar que se sigue el proceso estándar aplicable y mitigar cualquier riesgo de cambios no detectados en la producción. Los cambios se rastrean en el sistema de gestión de cambios.
● Existen políticas y procedimientos de control de acceso para evitar cambios no autorizados.
● Existen controles de gestión de dispositivos móviles.

Gobernanza

● Couchbase ha establecido un Sistema de Gestión de Seguridad de la Información (SGSI) formal con el fin de proteger la confidencialidad, integridad y disponibilidad de la oferta de Couchbase Capella y los sistemas de información, y para garantizar la eficacia de los controles de seguridad sobre los datos y los sistemas de información.
● Couchbase cuenta con una política de seguridad de la información documentada y aprobada, que incluye documentación de apoyo.
● La autoridad y responsabilidad de gestionar el programa de seguridad de la información de Couchbase ha sido delegada al Grupo de Seguridad de la Información y Cumplimiento, que está autorizado por la alta dirección para tomar las acciones necesarias para establecer, implementar y gestionar el programa de seguridad de la información de Couchbase.

Conformidad

● Couchbase es auditada por un auditor externo independiente y ha alcanzado la conformidad SOC 2 Tipo 1, lo que atestigua nuestro compromiso con los controles que salvaguardan la confidencialidad y disponibilidad de la información almacenada y procesada en el servicio Couchbase Capella.

Acceso mínimo a los datos

● Se realizan evaluaciones de privacidad relacionadas con la implantación de nuevos productos/servicios y el tratamiento de datos personales por terceros.
● La recogida de datos se limita a los fines del tratamiento (o a los datos que el cliente decida facilitar).
● Existen medidas de seguridad para proporcionar únicamente el acceso mínimo necesario para realizar las funciones requeridas.
● Se identifican los requisitos de conservación de datos
● El acceso a los datos personales está restringido al personal implicado en el tratamiento, respetando el principio de "necesidad de conocer", y de acuerdo con las funciones y responsabilidades definidas de las personas.

Medidas de rendición de cuentas

● Las evaluaciones de privacidad del cliente son necesarias al introducir cualquier nuevo producto/servicio que implique el tratamiento de datos personales.
● Las evaluaciones de impacto sobre la protección de datos forman parte de cualquier nueva iniciativa de tratamiento.

Solicitudes de acceso de los interesados

● Los interesados tienen derecho a solicitar la exportación de sus datos personales en un formato estándar del sector.
● Existen procesos que permiten a las personas ejercer sus derechos de privacidad (por ejemplo, el derecho de supresión o el derecho a la portabilidad de datos), tal y como se describe en la Política de Privacidad de Couchbase disponible públicamente.

Couchbase seguirá analizando las recientes orientaciones del Consejo Europeo de Protección de Datos sobre medidas complementarias para cumplir el requisito de adecuación del RGPD, así como cualquier otra que emitan las autoridades europeas de protección de datos a medida que vayan surgiendo.

 

Este Anexo establece los términos y condiciones que se aplican cuando el uso del Servicio en la Nube por parte del Cliente requiere un mecanismo de transferencia ulterior para transferir legalmente datos personales desde una jurisdicción a Couchbase ubicada fuera de esa jurisdicción.

1. Cláusulas contractuales tipo del Reino Unido.  Para las transferencias de datos desde el Reino Unido que estén sujetas a las Cláusulas Contractuales Tipo del Reino Unido, las Cláusulas Contractuales Tipo del Reino Unido se considerarán suscritas (e incorporadas a la presente DPA por referencia) y completadas del siguiente modo:

a. Las cláusulas SCC de Controlador a Procesador del Reino Unido se aplicarán cuando Couchbase esté procesando Datos del Cliente. La cláusula ilustrativa de indemnización no se aplicará. El Anexo A sirve como Apéndice 1 de los CCE entre el Responsable y el Encargado del Tratamiento del Reino Unido. El Anexo B sirve como Apéndice 2 de los CCC entre el Responsable y el Encargado del Tratamiento del Reino Unido. El Anexo D establece la interpretación de Couchbase y del Cliente de sus respectivas obligaciones bajo cláusulas específicas del Controlador del Reino Unido a los CCE del Procesador, según sea aplicable.

b. Los CCE de Controlador a Controlador del Reino Unido se aplicarán cuando Couchbase transfiera Datos de Uso. En la Cláusula II(h), Couchbase transferirá datos personales de acuerdo con los principios de procesamiento de datos establecidos en el Anexo A de los CCE de Controlador a Controlador del Reino Unido. No se aplicará la cláusula comercial ilustrativa. El Anexo A de este APD sirve como Anexo B de los CCE de Controlador a Controlador del Reino Unido.

2. Las cláusulas contractuales tipo de 2021.  Para las transferencias de datos sujetas al GDPR y/o a la FDPA suiza, se aplicarán las Cláusulas Contractuales Tipo 2021 de la siguiente manera:

a. El Módulo Uno (Controlador a Controlador) se aplicará cuando el Cliente sea un controlador de los Datos de Uso y Couchbase sea un controlador de los Datos de Uso.

b. El Módulo Dos (Controlador a Procesador) se aplicará cuando el Cliente sea un controlador de los Datos del Cliente y Couchbase sea un procesador de los Datos del Cliente;

c. El Módulo Tres (Procesador a Procesador) se aplicará cuando el Cliente sea un procesador de los Datos del Cliente y Couchbase sea un subprocesador de los Datos del Cliente;

d. Para cada módulo, cuando proceda:
(i) en la cláusula 7, se aplicará la cláusula de acoplamiento opcional;
(ii) en la Cláusula 9, se aplicará la Opción 2, y el plazo de notificación previa de los cambios de subencargado del tratamiento será el establecido en la Sección 3 (Subtratamiento) del presente APD;
(iii) en la cláusula 11, no se aplicará el lenguaje opcional;
(iv) en la Cláusula 17 (Opción 1), las Cláusulas Contractuales Tipo 2021 se regirán por la legislación del Estado miembro de la UE en el que esté establecido el Exportador de Datos y, en su defecto, por la legislación irlandesa.
(v) en la Cláusula 18(b), las disputas se resolverán ante los tribunales del estado miembro de la UE en el que esté establecido el Exportador de Datos, y en su defecto, ante los tribunales de la República de Irlanda.
(vi) En la parte A del anexo I:

Exportador de datos:  Cliente y filiales autorizadas del Cliente.

Datos de contacto:  La(s) dirección(es) de correo electrónico del Cliente especificada(s) como cuenta pertinente para recibir comunicaciones en virtud del Servicio en la nube

Función de exportador de datos:  El Cliente es el controlador o procesador de los Datos del Cliente, según corresponda, y el controlador de los Datos de Uso

Firma y fecha:  Al suscribir el Contrato, se considera que el Exportador de Datos ha firmado las presentes Cláusulas Contractuales Tipo incorporadas al mismo, incluidos sus Anexos, a partir de la Fecha de Entrada en Vigor del Contrato.

Importador de datos:  Couchbase, Inc.

Datos de contacto: Equipo jurídico de Couchbase - legal@couchbase.com

Función de importador de datos: Couchbase es el procesador o subprocesador de los Datos del Cliente, según corresponda, y el controlador de los Datos de Uso.

Firma y fecha: Al suscribir el Acuerdo, se considera que el Importador de Datos ha firmado las presentes Cláusulas Contractuales Tipo, incorporadas al mismo, incluidos sus Anexos, a partir de la Fecha de Entrada en Vigor del Acuerdo.

(vii) En la parte B del anexo I:
Las categorías de interesados se describen en el anexo A de la presente DPA.

Los datos sensibles transferidos se describen en el anexo A de la presente DPA.

La frecuencia de la transferencia es continua mientras dure el Acuerdo.

La naturaleza del tratamiento se describe en el anexo A de la presente DPA.

La finalidad del tratamiento se describe en el anexo A de la presente DPA.

El periodo de tratamiento se describe en el anexo A de la presente DPA.

Para las transferencias a subencargados del tratamiento, el objeto, la naturaleza y la duración del tratamiento se indican en https://info.couchbase.com/cloud-subprocessors.html

(viii) En el Anexo I, Parte C: La autoridad supervisora del Estado miembro de la UE especificado en la Sección 3(d)(iv) anterior actuará como autoridad supervisora competente.

(ix) El Anexo 2 hace las veces de Anexo II de las Cláusulas Contractuales Tipo.

4. Términos contradictorios. En la medida en que exista algún conflicto entre las Cláusulas Contractuales Tipo y cualesquiera otros términos del presente APD, prevalecerán las disposiciones de las Cláusulas Contractuales Tipo.

 

El presente anexo establece la interpretación que hacen las partes de sus obligaciones respectivas en virtud de cláusulas específicas de los CEC del Reino Unido entre Responsable y Encargado del Tratamiento (también denominadas "las cláusulas"), que se indican a continuación. Cuando una parte cumpla las interpretaciones establecidas en el presente anexo, la otra parte considerará que dicha parte ha cumplido sus compromisos en virtud de las cláusulas.
A efectos del presente anexo, por "APD" se entenderá el apéndice sobre tratamiento de datos vigente entre el importador y el exportador de datos y al que se incorporan las presentes cláusulas, y por "Acuerdo" se entenderá el significado que se le atribuye en el APD.

Cláusula 4(h) y 8: Divulgación de estas cláusulas

1. El exportador de datos acepta que las presentes cláusulas constituyen información confidencial del importador de datos, tal y como se define este término en el Acuerdo, y que el exportador de datos no podrá divulgarla a terceros sin el consentimiento previo por escrito del importador de datos, a menos que esté permitido en virtud del Acuerdo. Esto no impedirá la divulgación de estas Cláusulas a un interesado de conformidad con la Cláusula 4(h) o a una autoridad supervisora de conformidad con la Cláusula 8.

Cláusula 5(a): Suspensión de las transferencias de datos y rescisión:

1. Las partes reconocen que el importador de datos sólo podrá tratar los datos personales por cuenta del exportador de datos y de conformidad con las instrucciones que éste le haya dado y con las Cláusulas.

2. Las partes reconocen que si el importador de datos no puede proporcionar dicho cumplimiento por cualquier motivo, se compromete a informar sin demora al exportador de datos de su incapacidad para cumplirlo, en cuyo caso el exportador de datos tendrá derecho a suspender la transferencia de datos y/o rescindir el contrato.

3. Si el exportador de datos pretende suspender la transferencia de datos personales y/o rescindir las presentes Cláusulas, procurará notificarlo al importador de datos y concederle un plazo razonable para subsanar el incumplimiento ("Período de curado").

4. Si, transcurrido el plazo de subsanación, el importador de datos no ha subsanado o no puede subsanar el incumplimiento, el exportador de datos podrá suspender o poner fin inmediatamente a la transferencia de datos personales. El exportador de datos no estará obligado a proporcionar dicha notificación en los casos en que considere que existe un riesgo material de perjuicio para los interesados o sus datos personales.

Cláusula 5(f): Auditoría:

1. El exportador de datos reconoce y acepta que ejerce su derecho de auditoría en virtud de la cláusula 5(f) dando instrucciones al importador de datos para que cumpla las medidas de auditoría descritas en la sección 4 (Seguridad y auditorías) de la APD.

Cláusula 5(j): Divulgación de los acuerdos con los subprocesadores

1. Las partes reconocen la obligación del importador de datos de enviar sin demora al exportador de datos una copia de cualquier acuerdo de subencargado del tratamiento que celebre en virtud de las Cláusulas.

2. Las partes reconocen asimismo que, en virtud de las restricciones de confidencialidad de los subencargados del tratamiento, el importador de datos puede tener restringida la divulgación al exportador de datos de los acuerdos de los subencargados del tratamiento. No obstante, el importador de datos hará todo lo razonablemente posible para exigir a cualquier subencargado del tratamiento que designe que le permita revelar el acuerdo de subencargado del tratamiento al exportador de datos.

3. Aun cuando el importador de datos no pueda revelar un acuerdo de subprocesamiento al exportador de datos, las partes acuerdan que, a petición del exportador de datos, el importador de datos facilitará (con carácter confidencial) al exportador de datos toda la información que razonablemente tenga en relación con dicho acuerdo de subprocesamiento.

Cláusula 6: Responsabilidad

1. Cualquier reclamación presentada en virtud de las Cláusulas estará sujeta a los términos y condiciones, incluidas, entre otras, las exclusiones y limitaciones establecidas en el Acuerdo. En ningún caso ninguna de las partes limitará su responsabilidad con respecto a cualquier derecho del interesado en virtud de las presentes Cláusulas.

Artículo 11: Subtratamiento ulterior

1. Las partes reconocen que, de conformidad con la FAQ II.1 del documento WP 176 del Grupo de Trabajo del Artículo 29 titulado "Preguntas frecuentes para abordar algunas cuestiones planteadas por la entrada en vigor de la Decisión 2010/87/UE de la Comisión de la UE, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países de conformidad con la Directiva 95/46/CE", el exportador de datos puede dar su consentimiento general al subtratamiento ulterior por parte del importador de datos.

2. En consecuencia, el exportador de datos otorga un consentimiento general al importador de datos, de conformidad con la cláusula 11 de las presentes cláusulas, para contratar subencargados del tratamiento. Dicho consentimiento está condicionado al cumplimiento por parte del importador de datos de los requisitos establecidos en la sección 8(a) de la DPA.