GDPR

1. Partes

• Responsable del Tratamiento: El Cliente que utiliza el Servicio de Crisphive.
• Encargado del Tratamiento: WicWac Inc. (Operating as Crisphive), Suite 1420, 99 Bank Street, Ottawa, Ontario, K1P 1H4, Canada

2. Definiciones

Los términos en mayúsculas no definidos en esta DPA tienen el significado otorgado en el GDPR o en el Acuerdo.

• "Datos Personales" significa cualquier información relativa a una persona física identificada o identificable.
• "Tratamiento" tiene el significado establecido en el Artículo 4(2) del GDPR.
• "Subencargado" significa cualquier tercero contratado por Crisphive para procesar Datos Personales en nombre del Cliente.
• "EEE" significa el Espacio Económico Europeo.

3. Alcance y Propósito del Tratamiento

Crisphive procesa Datos Personales únicamente con el propósito de proporcionar la plataforma de programación y gestión de personal de Crisphive, incluyendo:

• Gestión de cuentas
• Programación y coordinación de trabajos
• Notificaciones y comunicaciones
• Soporte y mantenimiento de la plataforma
• Monitoreo de seguridad y rendimiento

El tratamiento se limita a lo necesario para prestar el Servicio.

4. Categorías de Datos y Sujetos de Datos

5. Responsabilidades del Responsable y del Encargado

6. Confidencialidad

Crisphive garantiza que todo el personal autorizado para procesar Datos Personales esté sujeto a obligaciones de confidencialidad apropiadas, ya sean contractuales o legales.

7. Medidas de Seguridad (Artículo 32 GDPR)

Crisphive implementa salvaguardas razonables y apropiadas, incluyendo:

• Controles de acceso basados en roles
• Cifrado en tránsito donde corresponda
• Infraestructura y entornos de alojamiento seguros
• Registro y monitoreo
• Procedimientos de respuesta ante incidentes

Las medidas de seguridad se revisan periódicamente y se ajustan según sea necesario.

8. Subencargados

9. Transferencias Internacionales de Datos

Los Datos Personales pueden procesarse fuera del EEE, incluyendo en Canadá y Estados Unidos. Cuando sea necesario, Crisphive se basa en las Cláusulas Contractuales Tipo (SCCs) y otros mecanismos de transferencia legales bajo el GDPR.

10. Asistencia en Derechos de los Sujetos de Datos

Crisphive asistirá al Cliente, cuando sea razonablemente posible, en la respuesta a solicitudes relacionadas con:

• Acceso
• Rectificación
• Supresión
• Restricción
• Oposición
• Portabilidad de datos

Crisphive no responde directamente a las solicitudes de los Sujetos de Datos a menos que la ley lo requiera.

11. Notificación de Violación de Datos

Crisphive deberá:

• Notificar al Cliente sin demora indebida tras tener conocimiento de una Violación de Datos Personales
• Proporcionar la información disponible para apoyar el cumplimiento de los Artículos 33 y 34 del GDPR

La notificación incluirá la naturaleza de la violación, las consecuencias probables y las medidas de mitigación disponibles.

12. Retención y Eliminación de Datos

Tras la terminación del Acuerdo:

• Crisphive eliminará o devolverá los Datos Personales dentro de un plazo razonable
• Los datos pueden retenerse cuando la ley lo requiera
• Las copias de seguridad pueden persistir durante un período limitado hasta ser sobrescritas

13. Auditorías y Cumplimiento

Previa notificación razonable por escrito, el Cliente podrá:

• Solicitar documentación que demuestre el cumplimiento
• Realizar auditorías limitadas a una por año (salvo que la ley lo requiera)

Las auditorías no deben interrumpir de manera irrazonable las operaciones de Crisphive.

14. Responsabilidad

La responsabilidad bajo esta DPA está sujeta a las limitaciones establecidas en el Acuerdo, en la máxima medida permitida por la ley aplicable.

15. Ley Aplicable

Esta DPA se rige por las leyes de Ontario, Canadá, y la legislación aplicable de protección de datos de la UE/Reino Unido cuando sea necesario.

16. Orden de Prelación

En caso de conflicto:

• 1. Esta DPA
• 2. El Acuerdo
• 3. Cualquier otro documento aplicable

17. Contacto para Asuntos de Protección de Datos

Anexo 1 — Resumen del Tratamiento