Apéndice de procesamiento de datos de clientes de Couchbase Capella Cloud

El presente apéndice sobre tratamiento de datos (el "DPA") forma parte del Contrato Principal de Servicios de Capella, u otro acuerdo entre el Cliente y Couchbase que rija el uso del Servicio en la Nube por parte del Cliente ("Acuerdo"), entre Couchbase, Inc. ("Couchbase") y la parte identificada como "Cliente" en el Acuerdo ("Cliente") (cada uno de ellos un "Fiesta" y juntos, el "Fiestas"). La fecha de entrada en vigor del presente APD es la fecha de entrada en vigor del Acuerdo o, si se ejecuta por separado, la fecha de la última firma del presente APD ("Fecha de entrada en vigor").

El presente APD describe los compromisos de las Partes relativos al tratamiento de Datos Personales en relación con el uso del Servicio en la Nube por parte del Cliente. Cualquier término en mayúsculas no definido en el presente APD tendrá el significado que se le atribuye en el Acuerdo.

El presente Acuerdo se actualizó por última vez el 07 de mayo de 2024.

Las Partes acuerdan lo siguiente:

1. 1. Definiciones. Los siguientes términos en mayúsculas, cuando se utilicen en el presente APD, tendrán los significados correspondientes que se indican a continuación:

1. "Legislación aplicable en materia de protección de datos" se refiere a todas las leyes, reglamentos, normas, ordenanzas y otros decretos mundiales de privacidad y protección de datos aplicables a los Datos Personales, incluyendo (pero sin limitarse a): (i) las Leyes Europeas de Protección de Datos; y (ii) todas las leyes y normativas de los Estados Unidos, incluida la Ley de Privacidad del Consumidor de California de 2018 (California Civil Code §§ 1798.100 et seq ("CCPA"), en su versión modificada, sustituida o reemplazada.

2. “Datos del cliente" significa cualquier Dato Personal procesado por Couchbase en nombre del Cliente como proveedor de servicios o procesador (según corresponda) en relación con el Servicio en la Nube, como se describe más particularmente en el Anexo A de esta DPA.

3. "EEE"los Estados miembros de la Unión Europea, más Islandia, Liechtenstein y Noruega.

4. “Legislación europea sobre protección de datos": i) el Reglamento 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) ("GDPR"); (ii) la Directiva 2002/58/CE relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas ("Directiva sobre privacidad electrónica"); (iii) cualquier aplicación nacional aplicable de (i) y (ii); (iv) la Ley Federal Suiza de Protección de Datos de 19 de junio de 1992 y su Ordenanza ("FDPA suizo"); y (v) con respecto al Reino Unido, la Ley de Protección de Datos de 2018 y cualquier legislación nacional aplicable que sustituya o convierta en legislación nacional el GDPR, la Directiva sobre privacidad electrónica o cualquier otra ley relativa a los datos y la privacidad como consecuencia de la salida del Reino Unido de la Unión Europea (colectivamente, "Legislación británica sobre protección de datos"); en cada caso, con sus modificaciones, sustituciones o reemplazos.

5. “Cláusulas tipo"se entenderá, en función de las circunstancias específicas del Cliente, cualquiera de los siguientes elementos: (i) las cláusulas contractuales tipo para encargados del tratamiento aprobadas por la Comisión Europea en virtud de su Decisión 2021/914 (la "2021 Cláusulas contractuales tipo"), y (ii) el apéndice sobre transferencia internacional de datos del Reino Unido a las cláusulas contractuales tipo de la Comisión de la UE, versión B1.0, en vigor a partir del 21 de marzo de 2022, ("IDTA REINO UNIDO"), denominadas alternativamente Cláusulas Contractuales Tipo, que se incorporan por referencia y forman parte del presente APD.

6. "Datos personales"toda información relativa a una persona física identificada o identificable y que esté protegida como "datos personales", "información personal" o "información personalmente identificable" en virtud de la legislación aplicable en materia de protección de datos.

7. "Incidente de seguridadPor "Incidente de Seguridad" se entenderá cualquier violación de la seguridad que conduzca a la destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a los Datos del Cliente transmitidos, almacenados o procesados de otro modo por Couchbase y/o sus Subprocesadores en relación con la prestación del Servicio en la Nube. Las Partes reconocen y acuerdan que "Incidente de Seguridad" no incluirá intentos fallidos o actividades que no comprometan la seguridad de los Datos del Cliente, incluyendo intentos fallidos de inicio de sesión, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques de red en firewalls o sistemas en red.

8. “SubprocesadorSubprocesador" significa cualquier procesador contratado por Couchbase o sus Afiliados para ayudar en el cumplimiento de sus obligaciones con respecto a la prestación del Servicio en la Nube de conformidad con el Acuerdo o este DPA. Los subprocesadores pueden incluir terceros o Afiliados de Couchbase, pero excluirán a cualquier empleado, contratista o consultor de Couchbase.

9. Los términos "controlador", "procesador" y "tratamiento"tendrán el significado que se les atribuye en el RGPD, y "proceso", "procesa" y "procesado"se interpretarán en consecuencia; y los términos "empresa", "proveedor de servicios" y "vender"tendrán el significado que se les da en la CCPA.

2. Función y alcance del tratamiento

1. Alcance. Sujeto a la Sección 2(b), esta DPA se aplica en la medida en que Couchbase procese como procesador o proveedor de servicios (según corresponda) cualquier Dato del Cliente protegido por las Leyes de Protección de Datos Aplicables.

2. Papel de las partes. Las partes reconocen y acuerdan que el Cliente es el negocio relevante, controlador o procesador (según corresponda) de los Datos del Cliente, y Couchbase es un proveedor de servicios, procesador o subprocesador (según corresponda) en nombre del Cliente, como se describe con más detalle en el Anexo A de esta DPA. Para evitar dudas, las partes reconocen que Couchbase puede ser la empresa o el controlador relevante con respecto a otros Datos Personales, como los Datos Personales incluidos en cualquier dato de uso técnico que Couchbase recopile en relación con el Servicio en la Nube. Cada una de las Partes cumplirá con todas las leyes, normas y reglamentos que le sean aplicables y vinculantes en la ejecución de este DPA, incluyendo cualquier Ley de Protección de Datos Aplicable.

3. Tratamiento de datos personales por parte de Couchbase. Couchbase se compromete a procesar los Datos del Cliente únicamente para los fines descritos en la presente DPA y de conformidad con las instrucciones legales documentadas del Cliente. Las partes acuerdan que el Acuerdo (incluyendo este DPA) establece las instrucciones completas y finales del Cliente a Couchbase en relación con el procesamiento de los Datos del Cliente y el procesamiento fuera del alcance de estas instrucciones (si las hubiera) requerirá un acuerdo previo por escrito entre el Cliente y Couchbase. Sin perjuicio de la Sección 2(d) (Responsabilidades del Cliente), Couchbase notificará al Cliente por escrito, a menos que esté prohibido hacerlo en virtud de las Leyes de Protección de Datos Aplicables, y podrá suspender el procesamiento de los Datos del Cliente, si tiene conocimiento o cree que cualquier instrucción de procesamiento de datos del Cliente viola las Leyes de Protección de Datos Aplicables.

4. Responsabilidades del cliente. El Cliente es responsable de la legalidad del procesamiento de los Datos del Cliente en virtud del Acuerdo o en relación con el mismo. El Cliente declara y garantiza que (i) ha proporcionado, y continuará proporcionando, todas las notificaciones y obtenido, y continuará obteniendo, todos los consentimientos, permisos y derechos necesarios bajo las Leyes de Protección de Datos Aplicables para que Couchbase procese legalmente los Datos del Cliente para los fines contemplados en el Acuerdo (incluyendo este DPA); (ii) ha cumplido con todas las Leyes de Protección de Datos Aplicables como controlador y/o empresa con respecto a los Datos del Cliente para la recopilación y provisión a Couchbase y sus Subprocesadores de dichos Datos del Cliente; y (iii) se asegurará de que sus instrucciones de procesamiento cumplan con las leyes aplicables (incluidas las Leyes de Protección de Datos Aplicables) y que el procesamiento de los Datos del Cliente por parte de Couchbase de acuerdo con las instrucciones del Cliente no causará que Couchbase incumpla las Leyes de Protección de Datos Aplicables.

5. Datos agregados. Para evitar dudas, el Cliente reconoce que Couchbase y sus Afiliados tendrán derecho a recopilar y crear información anonimizada, agregada y/o desidentificada (tal y como se define en las Leyes de Protección de Datos Aplicables) para sus propios fines comerciales legítimos.

3. Subprocesamiento

1. Subprocesadores autorizados. El Cliente reconoce y acepta que Couchbase puede contratar Subprocesadores para procesar los Datos del Cliente en nombre del Cliente. Los Subprocesadores actualmente contratados por Couchbase y autorizados por el Cliente se enumeran en el sitio web de Couchbase (actualmente publicado en https://info.couchbase.com/cloud-subprocessors.html). Por lo menos quince (15) días antes de cualquier adición de un nuevo sub-procesador, Couchbase actualizará el sitio web aplicable y proporcionará al Cliente una notificación de dicha actualización a través del mecanismo proporcionado en dicho sitio web de Couchbase, excepto que si Couchbase cree razonablemente que la contratación de un nuevo Sub-procesador de forma acelerada es necesaria para proteger la confidencialidad, integridad o disponibilidad de los Datos del Cliente o evitar una interrupción material del Servicio en la Nube, Couchbase en su lugar dará tal aviso tan pronto como sea razonablemente posible.

2. Obligaciones del subencargado del tratamiento. En la medida requerida por la Ley de Protección de Datos Aplicable, Couchbase: (i) celebrará un acuerdo por escrito con cada Subencargado del Tratamiento que imponga condiciones de protección de datos no menos protectoras de los Datos del Cliente que las obligaciones de Couchbase en virtud de este APD en la medida aplicable a los servicios prestados por cada Subencargado del Tratamiento; y (ii) seguirá siendo responsable de su cumplimiento de las obligaciones de este APD y de cualquier acto u omisión del Subencargado del Tratamiento que provoque que Couchbase incumpla cualquiera de sus obligaciones en virtud de este APD.

3. Objeciones a los subprocesadores. El Cliente podrá oponerse por escrito a la designación por parte de Couchbase de un nuevo Sub-procesador por motivos razonables relacionados con la protección de datos mediante notificación a Couchbase por escrito dentro de los diez (10) días naturales siguientes a la recepción de la notificación de Couchbase de conformidad con la Sección 3 (a) anterior. Dicha notificación explicará los motivos razonables de la objeción y las partes discutirán dichas preocupaciones de buena fe con vistas a alcanzar una resolución comercialmente razonable. Si no se puede llegar a dicha resolución, Couchbase, a su sola discreción, no nombrará a dicho Subprocesador, o permitirá al Cliente suspender o terminar la parte afectada del Servicio en la Nube de conformidad con las disposiciones de terminación en el Acuerdo. Couchbase reembolsará al Cliente cualquier tarifa prepagada no utilizada para dicha porción afectada del Servicio en la Nube después de la fecha efectiva de terminación. A menos que se haga una objeción como se establece en esta Sección 3(c), el Cliente consiente el uso de Couchbase de Sub-procesadores como se describe en este DPA.

4. Seguridad y auditorías

1. Medidas de seguridad. Couchbase implementará y mantendrá medidas de seguridad técnicas y organizativas apropiadas diseñadas para proteger los Datos del Cliente bajo su control de Incidentes de Seguridad y para preservar la seguridad y confidencialidad de los Datos del Cliente, teniendo en cuenta el estado de la técnica y las mejores prácticas de la industria, los costes de implementación y la naturaleza, alcance, contexto y fines del procesamiento ("Medidas de seguridad"). Dichas Medidas de Seguridad incluirán, como mínimo, aquellas medidas descritas en el Anexo B de este DPA. Couchbase se asegurará de que cualquier persona que esté autorizada por Couchbase para procesar los Datos del Cliente en virtud de esta DPA estará bajo una obligación apropiada de confidencialidad (ya sea un deber contractual o legal).

2. Actualización de las medidas de seguridad. El Cliente reconoce que las Medidas de Seguridad están sujetas al progreso y desarrollo técnico y que Couchbase puede actualizar o modificar las Medidas de Seguridad de vez en cuando, siempre que dichas actualizaciones y modificaciones no resulten en la degradación de la seguridad general del Servicio en la Nube adquirido por el Cliente.

3. Responsabilidades de seguridad del cliente. El Cliente implementará y mantendrá medidas de seguridad técnicas y organizativas apropiadas diseñadas para proteger de Incidentes de Seguridad y preservar la seguridad y confidencialidad de los Datos del Cliente bajo su control. El Cliente es responsable de (i) proteger la seguridad de todas las credenciales del Cliente utilizadas para acceder al Servicio en la nube; (ii) proteger el Entorno en la nube del Cliente y cualquier Sistema del Cliente (con medidas que incluyan, sin limitación, la rotación periódica de las claves de acceso y otras medidas estándar del sector para impedir el acceso no autorizado); (iii) realizar copias de seguridad y asegurar los Datos del Cliente bajo el control del Cliente dentro del Entorno en la Nube del Cliente u otro sistema controlado por el Cliente; y (iv) revisar la información puesta a disposición por Couchbase en relación con la seguridad y privacidad de los datos y tomar una determinación independiente sobre si el Servicio en la Nube cumple con los requisitos del Cliente y las obligaciones legales en virtud de la Ley de Protección de Datos Aplicable.

4. Respuesta a incidentes de seguridad. En la medida requerida por las Leyes de Protección de Datos Aplicables, al tener conocimiento de un Incidente de Seguridad, Couchbase notificará al Cliente sin demora indebida a través de los Servicios en la Nube y deberá: (i) incluir en dicha notificación al Cliente información oportuna relacionada con el Incidente de Seguridad a medida que se conozca, según lo solicite razonablemente el Cliente para ayudar al Cliente en relación con cualquier notificación de violación de datos personales requerida en virtud de las Leyes de Protección de Datos Aplicables, teniendo en cuenta la naturaleza del Servicio en la Nube, la información disponible para Couchbase y cualquier restricción sobre la divulgación de la información, como las obligaciones de confidencialidad; y (ii) tomar rápidamente medidas, consideradas necesarias y razonables por Couchbase, para contener, investigar y remediar cualquier Incidente de Seguridad, en la medida en que la remediación esté dentro del control razonable de Couchbase. La notificación de Couchbase o la respuesta a un Incidente de Seguridad bajo esta Sección 4(d) no se interpretará como un reconocimiento por parte de Couchbase de cualquier culpa o responsabilidad con respecto al Incidente de Seguridad. Las obligaciones establecidas en este documento no se aplicaran a Incidentes de Seguridad en la medida en que sean causados por el Cliente o sus Usuarios Autorizados.

5. Auditorías de seguridad. Couchbase proporcionará respuestas por escrito (de forma confidencial) a todas las solicitudes razonables de información por escrito realizadas por el Cliente en relación con el procesamiento de Datos del Cliente por parte de Couchbase, incluyendo respuestas a cuestionarios de seguridad de la información y de auditoría que sean necesarios para confirmar el cumplimiento de Couchbase con esta DPA, siempre que el Cliente no ejerza este derecho más de una vez en cualquier período de doce (12) meses consecutivos. Sin perjuicio de lo anterior, el Cliente también podrá ejercer dicho derecho de auditoría en el caso de que el Cliente sea expresamente requerido o obligado a proporcionar esta información a una autoridad de protección de datos, o Couchbase haya experimentado un Incidente de Seguridad, o sobre otra base razonablemente similar.

5. Transferencias internacionales

1. Lugares de procesamiento. El Servicio en la Nube está diseñado para permitir al Cliente determinar el Entorno en la Nube y la región geográfica en la que se desplegará la(s) instancia(s) de base de datos del Cliente, tal y como se describe con más detalle en la Documentación. El Cliente reconoce y acepta que como parte de la prestación de un Servicio en la Nube administrado, Couchbase puede transferir Datos del Cliente a lugares donde Couchbase, sus Afiliados o sus Subprocesadores mantienen operaciones de procesamiento de datos. Couchbase se asegurará en todo momento de que dichas transferencias se realicen de conformidad con los requisitos de las Leyes de Protección de Datos Aplicables y esta DPA.

6. Mecanismos de transferencia.

1. Marco de protección de datos. Couchbase participa y certifica el cumplimiento del Marco de Privacidad de Datos UE-EE.UU., la Extensión del Reino Unido al Marco de Privacidad de Datos UE-EE.UU., y el Marco de Privacidad de Datos Suiza-EE.UU. (colectivamente, el "Marco de Privacidad de Datos"). Como es requerido por el Marco de Privacidad de Datos, Couchbase (i) proporcionará al menos el mismo nivel de protección de la privacidad de los Datos del Cliente como es requerido por los Principios y Principios Suplementarios en el Marco de Privacidad de Datos relevante (los "Principios"), (ii) notificará al Cliente si Couchbase determina que ya no puede cumplir con su obligación de proporcionar el mismo nivel de protección como es requerido por el Marco de Privacidad de Datos, incluyendo los Principios, y (iii) tras la notificación, tomará medidas razonables y apropiadas para remediar el procesamiento no autorizado de los Datos del Cliente.

2. Transferencias reguladas por las leyes europeas de protección de datos. En la medida en que Couchbase procese (o haga que se procese) cualquier dato personal protegido por las Leyes Europeas de Protección de Datos en un tercer país no reconocido como proveedor de protección adecuada de datos personales (como se describe en las Leyes Europeas de Protección de Datos), entonces los términos y condiciones del Anexo C (Transferencias de Datos) se aplicarán y el Cliente (como exportador de datos) se considerará que ha entrado en las Cláusulas Modelo con Couchbase (como importador de datos) y Couchbase se compromete a cumplir y procesar dichos Datos del Cliente en el cumplimiento de las Cláusulas Modelo, que se incorporan en su totalidad por referencia y forman parte integrante de este DPA. A los efectos de las descripciones en las Cláusulas Modelo: (A) Couchbase se compromete a que es un "importador de datos" y el Cliente es el "exportador de datos" (a pesar de que el Cliente puede ser una entidad situada fuera del EEE o el Reino Unido), (B) Anexo A y Anexo B de este DPA sustituirá el Apéndice 1 y Apéndice 2 de las Cláusulas Modelo. No es la intención de ninguna de las partes, ni el efecto de este DPA, contradecir o restringir ninguna de las disposiciones establecidas en las Cláusulas Modelo. En consecuencia, si y en la medida en que las Cláusulas Modelo entren en conflicto con cualquier disposición de este DPA, las Cláusulas Modelo prevalecerán en la medida de dicho conflicto. Las Cláusulas Modelo no se aplicarán a los Datos del Cliente que no se transfieran, ya sea directamente o mediante transferencia ulterior, fuera del EEE o del Reino Unido. Si y en la medida en que Couchbase adopte una solución alternativa de exportación de datos para la transferencia de Datos del Cliente según lo prescrito por las Leyes Europeas de Protección de Datos aplicables ("Mecanismo Alternativo de Transferencia"), el Mecanismo Alternativo de Transferencia se aplicará en su lugar (pero sólo en la medida en que dicho Mecanismo Alternativo de Transferencia se aplique a la transferencia).

3. Requisitos adicionales de transferencia. Si, en cualquier momento, las Leyes de Protección de Datos Aplicables requieren que se tomen medidas adicionales para permitir la transferencia de Datos del Cliente según lo establecido en este DPA (incluyendo, sin limitación, la ejecución o re-ejecución de las Cláusulas Contractuales Estándar 2021 o IDTA del Reino Unido como un documento separado y/o la celebración de cláusulas adicionales de transferencia transfronteriza), y / o los mecanismos de transferencia en este DPA son modificados, sustituidos, derogados o terminados de otro modo en virtud de la Ley de Protección de Datos Aplicable, entonces el Cliente y Couchbase acuerdan trabajar juntos de buena fe para tomar todas las medidas razonablemente necesarias para permitir una transferencia en cumplimiento de las Leyes de Protección de Datos Aplicables. Además, en la medida requerida por la Ley de Protección de Datos Aplicable, Couchbase proporcionará la información razonablemente solicitada en relación con el tratamiento de datos personales en virtud del Acuerdo para permitir al Cliente llevar a cabo evaluaciones de impacto de protección de datos o consultas previas con las autoridades de supervisión.

7. Supresión de datos de clientes

1. El Servicio en la nube proporcionará al Cliente controles que el Cliente podrá utilizar para eliminar o recuperar los Datos del cliente durante el plazo de vigencia de forma coherente con la funcionalidad del Servicio en la nube.

2. Por la presente, el Cliente autoriza a Couchbase, a la terminación o expiración del Acuerdo, o en caso de terminación o suspensión del Servicio en la Nube de conformidad con el Acuerdo, a eliminar todos los Datos del Cliente (incluidas las copias) en su posesión o control de conformidad con el Acuerdo, con la salvedad de que este requisito no se aplicará en la medida en que Couchbase esté obligado por la legislación aplicable a conservar algunos o todos los Datos del Cliente.

8. Derechos de las personas y cooperación

1. Solicitudes de los interesados. El Servicio en la nube proporciona al Cliente una serie de controles, incluidas características y funcionalidades de seguridad, que el Cliente puede utilizar para recuperar, corregir, eliminar o restringir los Datos del cliente, tal y como se describe en cualquier documentación aplicable al Servicio en la nube. Sin perjuicio de lo dispuesto en la Sección 4(a), el Cliente puede utilizar estos controles como medidas técnicas y organizativas para ayudarle en relación con sus obligaciones en virtud de las Leyes de Protección de Datos Aplicables, incluidas sus obligaciones relativas a responder a las solicitudes de los interesados. En la medida en que el Cliente no pueda acceder de forma independiente a los Datos del Cliente relevantes dentro del Servicio en la Nube, Couchbase deberá, teniendo en cuenta la naturaleza del procesamiento, proporcionar una cooperación razonable para ayudar al Cliente a responder a cualquier solicitud de particulares o autoridades de protección de datos aplicables relacionadas con el procesamiento de los Datos del Cliente en virtud del Acuerdo. En el caso de que cualquier solicitud de este tipo que identifique al Cliente se haga a Couchbase directamente, Couchbase no responderá a dicha comunicación directamente sin la autorización previa del Cliente, a menos que esté legalmente obligado a hacerlo. Si Couchbase está obligado a responder a dicha solicitud, Couchbase deberá notificar con prontitud al Cliente y proporcionarle una copia de la solicitud a menos que esté legalmente prohibido hacerlo.

2. Citaciones y órdenes judiciales. Si una agencia de aplicación de la ley envía a Couchbase una demanda de Datos del Cliente (por ejemplo, a través de una citación u orden judicial), Couchbase dará al Cliente un aviso razonable de la demanda para permitir al Cliente buscar una orden de protección u otro remedio apropiado a menos que Couchbase esté legalmente prohibido de hacerlo.

9. Términos específicos de la jurisdicción

1. California. En la medida en que los Datos del Cliente estén sujetos a la CCPA, las partes acuerdan que el Cliente es una empresa y que designa a Couchbase como su proveedor de servicios (tal y como se define en la CCPA) para procesar los Datos del Cliente según lo permitido en el Acuerdo (incluida esta DPA) y la CCPA, o para fines acordados de otro modo por escrito (colectivamente, la "Fines permitidos"). El Cliente y Couchbase acuerdan que: (i) Couchbase no retendrá, usará o divulgará información personal para ningún propósito que no sean los Propósitos Permitidos; (ii) los Datos del Cliente no fueron vendidos a Couchbase y Couchbase no "venderá" información personal (como se define en la CCPA); (iii) Couchbase no retendrá, usará o divulgará información personal fuera de la relación comercial directa entre el Cliente y Couchbase; y (iv) no combinará Datos del Cliente con información personal (según se define en la CCPA) que Couchbase haya recibido de otra fuente, excepto según lo permitido por la CCPA. Las partes acuerdan que Couchbase puede desidentificar o agregar información personal en el curso de la prestación del Servicio en la Nube. Couchbase certifica que entiende las restricciones establecidas en esta Sección 9(a) y que las cumplirá. Couchbase notificará al Cliente si determina que ya no puede cumplir con las obligaciones bajo esta Sección 9(a) como proveedor de servicios bajo la CCPA.

10. 10. Limitación de responsabilidad

1. La responsabilidad de cada una de las Partes y de todas sus Afiliadas, consideradas conjuntamente en su conjunto, derivada de o relacionada con este APD (incluidas las Cláusulas Modelo) ya sea contractual, extracontractual (incluida la negligencia) o bajo cualquier otra teoría de responsabilidad, estará sujeta a las limitaciones y exclusiones de responsabilidad del Acuerdo, y cualquier referencia en las disposiciones a la responsabilidad de una parte significa la responsabilidad agregada de esa parte y de todas sus Afiliadas bajo y en relación con el Acuerdo y este APD conjuntamente.

2. Excepto cuando las Leyes de Protección de Datos Aplicables requieran que un Afiliado del Cliente ejerza un derecho o busque cualquier remedio bajo este DPA contra Couchbase directamente por sí mismo, las partes acuerdan que (i) únicamente la entidad del Cliente que es la parte contratante del Acuerdo ejercerá cualquier derecho o buscará cualquier remedio que cualquier Afiliado del Cliente pueda tener bajo este DPA en nombre de sus Afiliados, y (ii) el Cliente que es la parte contratante del Acuerdo ejercerá cualquiera de tales derechos bajo este DPA no por separado para cada Afiliado individualmente sino de manera combinada para todos sus Afiliados juntos.

11. Varios

1. En caso de conflicto entre el presente APD y el Acuerdo, las partes acuerdan que prevalecerán los términos del presente APD, con la condición de que, si y en la medida en que exista algún conflicto entre las Cláusulas Contractuales Tipo y cualesquiera otros términos del presente APD, prevalecerán las disposiciones de las Cláusulas Contractuales Tipo con respecto al tratamiento regido por las Cláusulas Contractuales Tipo. Además, si existe algún conflicto entre el presente APD y un Acuerdo de Colaboración Empresarial celebrado entre las partes (un "BAA"), prevalecerán las disposiciones del BAA con respecto a cualquier PHI (tal y como se define en dicho BAA).

2. Las partes acuerdan intentar de buena fe resolver cualquier disputa que surja de o esté relacionada con este APD, antes y como condición previa al inicio de procedimientos legales de cualquier tipo. Todas y cada una de las negociaciones que se lleven a cabo en virtud de la presente Sección 11(b) son confidenciales y se tratarán como negociaciones de compromiso y conciliación a efectos de las normas aplicables en materia de pruebas.

3. Salvo por los cambios introducidos por el presente APD, el Acuerdo permanece inalterado y en plena vigencia.

4. El presente APD podrá ejecutarse por duplicado, cada uno de los cuales se considerará un original, pero todos juntos constituirán un único y mismo instrumento.

5. Si alguna disposición o disposición parcial del presente APD es o deviene inválida, ilegal o inaplicable, se considerará suprimida, pero ello no afectará a la validez y aplicabilidad del resto del APD.

6. El presente APD se regirá e interpretará de conformidad con las disposiciones sobre legislación aplicable y jurisdicción contenidas en el Acuerdo, salvo que la legislación europea sobre protección de datos disponga otra cosa.

Este Anexo A forma parte de la DPA y describe el procesamiento que Couchbase realizará de los Datos del Cliente como procesador o subprocesador en nombre del Cliente como controlador o procesador, según corresponda.
Datos del cliente
Duración
La duración del tratamiento de datos en virtud del presente APD es hasta la terminación del Acuerdo de conformidad con sus términos, más el período comprendido entre la expiración del Acuerdo y la supresión de los datos personales por parte de Couchbase de conformidad con los términos del Acuerdo (incluido el presente APD).

Categorías de datos
Los datos personales que se tratarán se refieren a las siguientes categorías de datos (especifique):

• Datos personales en el Contenido del cliente o el Contenido de soporte: Datos Personales incluidos en contenidos o datos proporcionados por o en nombre del Cliente o de los Usuarios Autorizados por o a través del Servicio en la Nube.

Categorías especiales de datos (si procede)
Las partes no tienen intención de tratar datos de categoría especial en virtud del Acuerdo.

Interesados
Los datos personales que se van a tratar se refieren a las siguientes categorías de interesados (especifíquese):

• Los sujetos de datos incluyen individuos sobre los que se proporcionan datos a Couchbase a través del Servicio en la Nube por o bajo la dirección del Cliente, incluidos los Usuarios Autorizados. Los sujetos de datos pueden incluir clientes, empleados, proveedores y usuarios finales del Cliente.

Operaciones de tratamiento
Los datos personales serán objeto de las siguientes actividades básicas de tratamiento (especifíquese):

• procesamiento para prestar el Servicio en la nube de conformidad con el Acuerdo;

• tratamiento para realizar cualquier trámite necesario para la ejecución del Acuerdo;

• el procesamiento iniciado por el Cliente en su uso del Servicio en la nube; y

• procesamiento para cumplir con otras instrucciones razonables proporcionadas por el Cliente (por ejemplo, a través de correo electrónico o tickets de soporte) que sean coherentes con los términos del Acuerdo.

Frecuencia
Los datos personales pueden transferirse continuamente.

Este Anexo describe las Medidas de Seguridad de Couchbase. El Cliente reconoce que el Servicio en la Nube opera de conformidad con un modelo de responsabilidad compartida, que requiere, entre otras cosas, que el Cliente tome ciertas medidas como proteger la seguridad del Contenido del Cliente (que permanece almacenado dentro del entorno del Cliente bajo su control). Si y en la medida en que Couchbase procese Datos del Cliente en nombre del Cliente en relación con el Servicio en la Nube, Couchbase implementará y mantendrá las siguientes Medidas de Seguridad:

Medidas de cifrado de datos

• Todos los datos de los clientes se cifran en tránsito mediante TLS 1.2 (o superior) y en reposo mediante cifrado AES-256.

• Los ordenadores portátiles de los empleados se cifran utilizando un cifrado AES-256 de disco completo.

• Todas las credenciales se cifran en tránsito mediante TLS 1.2 (o superior) y se cifran en reposo.

• Las claves de cifrado se rotan anualmente y son almacenadas y gestionadas por el proveedor de servicios en la nube seleccionado por el Cliente.

Medidas de disponibilidad y recuperabilidad

• Couchbase mantiene planes y procedimientos de Recuperación de Desastres y Continuidad del Negocio que están diseñados para asegurar razonablemente la disponibilidad del Servicio en la Nube.

• Anualmente, los planes de recuperación de desastres del plano de control de Capella se prueban, revisan y actualizan según sea necesario para alcanzar el objetivo de tiempo de recuperación del servicio y el objetivo de punto de recuperación de datos establecidos por Couchbase.

• La oferta de Couchbase Capella se despliega en centros de datos distribuidos geográficamente operados por proveedores de servicios de nube pública reconocidos en el sector, como Amazon (AWS), Microsoft (Azure) y Google (GCP) (según corresponda).

• La redundancia está integrada en la infraestructura del sistema que soporta la oferta de Couchbase Capella. En caso de que falle un sistema primario, la infraestructura redundante en otra zona de disponibilidad está configurada para ocupar su lugar.

• Las copias de seguridad se almacenan en entornos controlados dentro de la infraestructura de la nube. El acceso lógico a los datos de las copias de seguridad está restringido al personal adecuado y se guarda en un almacenamiento de alta disponibilidad.

• Anualmente, se realiza una prueba de restauración de copias de seguridad en la que el personal de operaciones restaura una copia de seguridad a partir de una instantánea para garantizar que los datos podrían recuperarse en caso de incidente.

Medidas de seguridad de la organización

• Couchbase ha establecido un Sistema de Gestión de Seguridad de la Información (SGSI) formal para proteger la confidencialidad, integridad y disponibilidad de la oferta de Couchbase Capella y los sistemas de información, y para garantizar la eficacia de los controles de seguridad sobre los datos y los sistemas de información.

• Couchbase tiene una metodología definida para categorizar los datos en niveles de sensibilidad en base a los cuales se seleccionan e implementan los controles de protección técnicos y de procedimiento apropiados.

• Se exige a los empleados que reciban formación en materia de lucha contra el soborno y la corrupción, ética y código de conducta, uso de información privilegiada, privacidad global de datos y concienciación anual sobre seguridad.

• Los empleados deben firmar acuerdos de confidencialidad y no divulgación en el momento de su contratación.

• Existen políticas y procedimientos formales para las actividades de incorporación y desincorporación de empleados. Se definen y aplican procesos de provisión y desprovisión de cuentas.

• El acceso de los empleados se elimina en caso de cese o se ajusta según sea necesario como resultado de un cambio de función.

• La autenticación multifactor (MFA) se aplica para acceder a los recursos críticos y de producción.

• Se cumplen los requisitos de complejidad de las contraseñas.

• Se aplica la segregación de responsabilidades y funciones para reducir las oportunidades de modificación o uso indebido no autorizado o no intencionado.

• Couchbase mantiene firmados acuerdos de confidencialidad con terceros.

• Las redes de Couchbase están segregadas por niveles de confianza y protegidas por cortafuegos.

• Couchbase tiene un proceso definido para la identificación, priorización y remediación de vulnerabilidades, incluyendo internamente a través de pruebas y escaneo continuo.

Medidas de registro y control

• Se habilita el registro de actividades de usuario, excepciones, fallos y eventos de seguridad de la información. Los registros se conservan, según sea necesario.

• Sólo los empleados autorizados de Couchbase pueden acceder a todos los registros y existen controles de acceso para evitar accesos no autorizados.

• El acceso de escritura a los datos de registro está estrictamente prohibido. Las instalaciones de registro y la información de registro están protegidas contra la manipulación y el acceso no autorizado mediante el uso de controles de acceso y medidas de seguridad.

• Couchbase dispone de varias medidas de supervisión para generar alertas de seguridad e identificar actividades irregulares.

• El equipo de operaciones de Couchbase Capella revisa regularmente las alertas de seguridad y su configuración subyacente para asegurarse de que funcionan según lo previsto y de que los controles se modifican a medida que cambian las condiciones.

• Couchbase cuenta con un plan documentado de gestión de incidentes y respuesta a la filtración de datos que incluye procedimientos para la detección, investigación, notificación y corrección de filtraciones.

• Couchbase contrata a proveedores de servicios externos independientes para realizar pruebas de penetración anuales, y corrige adecuadamente los resultados de dichas pruebas de acuerdo con los SLA definidos internamente.

Medidas de control de acceso

• Couchbase implementa las mejores prácticas de seguridad y utiliza una arquitectura de seguridad basada en roles a través de la base de datos, la red y las capas de aplicación, y sigue estrictamente los principios de mínimo privilegio a la hora de conceder acceso a los sistemas clave.

• La autenticación multifactor (MFA) se aplica para acceder a los recursos críticos y de producción.

• Se cumplen los requisitos de complejidad de las contraseñas.

• Couchbase ha definido funciones de trabajo y roles para apoyar la adecuada segregación de funciones.

• El acceso a los entornos operativos, de producción y de recuperación de desastres está protegido mediante el uso de cuentas de usuario únicas, contraseñas seguras, el uso de autenticación multifactor (MFA), el acceso basado en funciones y el principio de mínimos privilegios.

• Las claves de acceso utilizadas por las aplicaciones de producción de Couchbase (por ejemplo, las claves de acceso de AWS) solo son accesibles para el personal autorizado. Se rotan (cambian) según sea necesario (por ejemplo, en virtud de un aviso de seguridad o una salida de personal) y al menos una vez al año.

• Se registra la actividad de los usuarios en entornos operativos, incluido el acceso, la modificación o la supresión de datos.

• Las solicitudes de autorización y el aprovisionamiento se registran, rastrean y auditan.

• Se despliegan cortafuegos de aplicaciones web (WAF), además de los cortafuegos basados en red.

• Existen controles de gestión de dispositivos móviles.

Medidas de seguridad física

• La oferta de Couchbase Capella se despliega en centros de datos distribuidos geográficamente operados por proveedores de servicios de nube pública reconocidos en el sector, como Amazon (AWS), Microsoft (Azure) y Google (GCP) (según corresponda).

• El acceso físico a todas las instalaciones que contienen datos sensibles está restringido y gestionado.

• Todas las instalaciones de recursos de información (por ejemplo, armarios de red y almacenes) están protegidas físicamente en proporción a la criticidad o importancia de su función.

• El acceso a las instalaciones de recursos de información sólo se concede al personal de la empresa y a los contratistas cuyas responsabilidades laborales requieran el acceso a dichas instalaciones.

• Todas las instalaciones de recursos de información que permiten el acceso a visitantes están configuradas para realizar un seguimiento del acceso de los visitantes mediante un registro de entrada.

• Los registros de acceso con tarjeta y los registros de visitantes de las instalaciones de recursos de información se mantienen para su revisión rutinaria en función de la criticidad de los recursos de información que se protegen.

• Los equipos están protegidos para reducir los riesgos derivados de amenazas ambientales, peligros y oportunidades de acceso no autorizado.

Medidas de gestión del cambio

• Couchbase cuenta con una política y un procedimiento de control de acceso y gestión de cambios para evitar cambios no autorizados.

• Couchbase monitoriza los cambios en los sistemas en alcance para asegurar que se sigue el proceso estándar aplicable y para mitigar cualquier riesgo de cambios no detectados en producción. Los cambios se rastrean en el sistema de gestión de cambios.

Gobernanza

• Couchbase ha establecido un Sistema de Gestión de Seguridad de la Información (SGSI) formal para proteger la confidencialidad, integridad y disponibilidad de la oferta de Couchbase Capella y los sistemas de información, y para garantizar la eficacia de los controles de seguridad sobre los datos y los sistemas de información.

• Couchbase cuenta con una política de seguridad de la información documentada y aprobada, que incluye documentación de apoyo.

• La autoridad y responsabilidad para gestionar el programa de seguridad de la información de Couchbase ha sido delegada al Grupo de Seguridad de la Información y Cumplimiento, que está autorizado por la alta dirección para tomar las acciones necesarias para establecer, implementar y gestionar el programa de seguridad de la información de Couchbase.

• Los terceros que prestan servicios a Couchbase o tienen acceso a sistemas y datos se someten a evaluaciones basadas en riesgos antes de su incorporación, y su programa de seguridad se revisa periódicamente.

Conformidad

• Couchbase realiza auditorías anuales por parte de un auditor externo independiente con respecto a los requisitos de control de SOC 2 Tipo 2, HIPAA, CSA STAR y PCI-DSS, que dan fe de nuestro compromiso con los controles que salvaguardan la confidencialidad y disponibilidad de la información almacenada y procesada en el servicio Couchbase Capella.

Acceso mínimo a los datos

• Las políticas y procedimientos de transferencia e intercambio de datos se establecen teniendo en cuenta la normativa aplicable.

• Se realizan evaluaciones de privacidad relacionadas con la implantación de nuevos productos/servicios y el tratamiento de datos personales por terceros.

• La recogida de datos se limita a los fines del tratamiento (o a los datos que el cliente decida facilitar).

• Existen medidas de seguridad para proporcionar únicamente el acceso mínimo necesario para realizar las funciones requeridas.

• Se identifican los requisitos de conservación de datos

• El acceso a los datos personales está restringido al personal implicado en el tratamiento, según el principio de "necesidad de conocer" y de acuerdo con las funciones y responsabilidades definidas para cada persona.

Solicitudes de acceso de los interesados

• Existen procesos que permiten a las personas ejercer sus derechos de privacidad (por ejemplo, el derecho de supresión o el derecho a la portabilidad de datos), tal y como se describe en la Política de Privacidad de Couchbase disponible públicamente.

Couchbase seguirá analizando las recientes orientaciones del Consejo Europeo de Protección de Datos sobre medidas complementarias para cumplir el requisito de adecuación del RGPD, así como cualquier otra que emitan las autoridades europeas de protección de datos a medida que vayan surgiendo.

Este Anexo establece los términos y condiciones que se aplican cuando el uso del Servicio en la Nube por parte del Cliente requiere un mecanismo de transferencia ulterior para transferir legalmente datos personales desde una jurisdicción a Couchbase ubicada fuera de esa jurisdicción.

1. Las Cláusulas Contractuales Tipo 2021. Para las transferencias de datos sujetas al RGPD, se aplicarán las Cláusulas Contractuales Tipo 2021 de la siguiente manera:

1. El Módulo Dos (Controlador a Procesador) se aplicará cuando el Cliente sea un controlador de los Datos del Cliente y Couchbase sea un procesador de los Datos del Cliente;
2. El Módulo Tres (Procesador a Procesador) se aplicará cuando el Cliente sea un procesador de los Datos del Cliente y Couchbase sea un subprocesador de los Datos del Cliente;
3. Para cada módulo, si procede:
1. en la Cláusula 7, se aplicará la cláusula de acoplamiento opcional y las partes cooperarán de buena fe para tomar las medidas necesarias para aplicar las Cláusulas Contractuales Tipo 2021 a otra parte;
2. en la Cláusula 9(a), se aplicará la Opción 2, y el plazo de notificación previa de los cambios de subencargado del tratamiento será el establecido en la Sección 3 (Subtratamiento) del presente APD;
3. en la cláusula 11, no se aplicará el lenguaje opcional;
4. en la Cláusula 17 (Opción 2), las Cláusulas Contractuales Tipo 2021 se regirán por la legislación del Estado miembro de la UE en el que esté establecido el Exportador de Datos y, en su defecto, por la legislación de la República de Irlanda; siempre que, con respecto a cualquier transferencia de datos sujeta a la legislación sobre protección de datos de un país no perteneciente al EEE en el que la autoridad competente haya aprobado el uso de las Cláusulas Contractuales Tipo 2021 (incluida, entre otros, Suiza) (un "País de adopción"), las Cláusulas Contractuales Tipo 2021 se regirán por las leyes de protección de datos del País de Adopción.
5. en la Cláusula 18(b), los litigios se resolverán ante los tribunales del Estado miembro de la UE en el que esté establecido el Exportador de Datos y, en su defecto, ante los tribunales de la República de Irlanda; siempre que, con respecto a cualquier transferencia de datos sujeta a las leyes de protección de datos de un País de Adopción, cualquier litigio derivado de las Cláusulas Contractuales Tipo 2021 sea resuelto por los tribunales del País de Adopción.
6. En el anexo I, parte A:

   Exportador de datos Cliente y filiales autorizadas del Cliente.

   Datos de contacto La(s) dirección(es) de correo electrónico del Cliente especificada(s) como cuenta pertinente para recibir comunicaciones en virtud del Servicio en la nube

   Función del exportador de datos El Cliente es el responsable o el encargado del tratamiento de los Datos del Cliente, según proceda

   Actividades relacionadas con los datos transferidos: Recepción de software y servicios de Couchbase y afiliados

   Firma y fecha Al suscribir el Acuerdo y el APD, se considera que el Exportador de Datos ha firmado las presentes Cláusulas Contractuales Tipo incorporadas al mismo, incluidos sus Anexos, a partir de la Fecha de Entrada en Vigor del APD.

   Importador de datos Couchbase, Inc.

   Datos de contacto: Equipo jurídico de Couchbase - legal@couchbase.com

   Función del importador de datos: Couchbase es el procesador o subprocesador de los Datos del Cliente, según corresponda.

   Actividades relacionadas con los datos transferidos: Suministro de software y servicios

   Firma y fecha: Al suscribir el Acuerdo y el APD, se considera que el Importador de Datos ha firmado las presentes Cláusulas Contractuales Tipo, incorporadas al presente documento, incluidos sus Anexos, a partir de la Fecha de Entrada en Vigor del APD.

7. En el anexo I, parte B:

   Las categorías de interesados se describen en el anexo A de la presente DPA.

   Los datos sensibles transferidos se describen en el anexo A de la presente DPA.

   La frecuencia de la transferencia es continua mientras dure el Acuerdo.

   La naturaleza del tratamiento se describe en el anexo A de la presente DPA.

   La finalidad del tratamiento se describe en el anexo A de la presente DPA.

   El periodo de tratamiento se describe en el anexo A de la presente DPA.

   Para las transferencias a subencargados del tratamiento, el objeto, la naturaleza y la duración del tratamiento se indican en https://info.couchbase.com/cloud-subprocessors.html

8. En el Anexo I, Parte C: La autoridad de control del Estado miembro de la UE especificado en la Sección 1(d)(iv) de este Anexo C actuará como autoridad de control competente; siempre que, con respecto a cualquier transferencia de datos sujeta a las leyes de protección de datos de un País Adoptivo, la autoridad de control sea la autoridad de protección de datos del País Adoptivo.
9. El Anexo B del presente APD hace las veces de Anexo II de las Cláusulas Contractuales Tipo.
10. Las partes acuerdan que a continuación se describe el entendimiento de las partes sobre determinadas obligaciones en virtud de las Cláusulas Contractuales Tipo:
    1. Auditorías: El Exportador de datos da instrucciones al Importador de datos para que cumpla con cualquier auditoría mediante el cumplimiento de las disposiciones de auditoría de la Sección 4(e) de la DPA.
    2. Responsabilidad: En la medida en que lo permitan las Leyes Europeas de Protección de Datos, la responsabilidad del Importador de Datos en virtud de las Cláusulas Contractuales Tipo 2021 estará sujeta a cualquier limitación agregada de responsabilidad establecida en el Acuerdo.

2. Transferencias de datos desde Suiza. Cuando la transferencia de Datos Personales esté sujeta a la FDPA suiza, se aplicarán los términos de la Sección 1 anterior con las siguientes modificaciones:

1. cualquier referencia en las Cláusulas Contractuales Tipo a la "Directiva 95/46/CE" o al "Reglamento (UE) 2016/679" se interpretará como una referencia al FADP suizo;
2. las referencias a "UE", "Unión", "Estado miembro" y "Derecho de los Estados miembros" se interpretarán como referencias a Suiza y al Derecho suizo, según proceda; y
3. cualquier referencia a la "autoridad de control competente" y a los "tribunales competentes" se interpretará como una referencia al Comisario Federal Suizo de Protección de Datos e Información y a los tribunales competentes en Suiza.

3. Transferencias de datos desde el Reino Unido. Cuando la transferencia de Datos Personales esté sujeta a las Leyes de Protección de Datos del Reino Unido, las partes acuerdan:

1. Se aplicarán íntegramente las disposiciones de la IDTA, incluida la Parte 2 "Cláusulas obligatorias";
2. A efectos de la Tabla 1 de la IDTA del Reino Unido, los nombres de las partes, sus funciones y sus datos figurarán en el Anexo C adjunto;
3. A efectos de las Tablas 2 y 3 de la IDTA del Reino Unido, se aplicarán las Cláusulas Contractuales Tipo 2021 incorporadas al presente APD por referencia, incluida la información que figura en los Anexos adjuntos; y
4. A efectos de la Tabla 4 de la IDTA del Reino Unido, cualquiera de las partes podrá poner fin a la IDTA del Reino Unido si, tras un esfuerzo de buena fe de las partes por modificar el presente APD, las partes no consiguen llegar a un acuerdo mutuo.
5. En la medida en que lo permitan las leyes de protección de datos del Reino Unido, la responsabilidad del importador de datos estará sujeta a las limitaciones globales de responsabilidad establecidas en el Acuerdo.