Get in Touch
Aplicación
WELL Certification Obtener la certificación WELL Cumple con los requisitos de WELL y gana hasta 9 puntos con Kaiterra workplace Mejorar la experiencia en el lugar de trabajo Ofrece experiencias laborales superiores con un mejor aire High performance buildings Mejorar el rendimiento del HVAC y del edificio Toma decisiones basadas en datos en el diseño y la operación de edificios Crear escuelas saludables Crear entornos escolares más seguros y saludables Achieve Building Certifications Proyectos LEED Apoye la certificación LEED para edificios más saludables y sostenibles Achieve Building Certifications Proyectos Fitwel Gane puntos Fitwel y apoye la salud y el bienestar de los ocupantes Achieve Building Certifications RESET Proyectos Logre estándares RESET con monitoreo e informes continuos
Role
Para propietarios y propietarios de edificios Para ocupantes corporativos y ocupantes de edificios
Hardware
Monitores de calidad del aire interior
Monitores de calidad del aire exterior
Monitores de calidad del aire en conductos
Comparar hardware
Software
Plataforma de Datos de Kaiterra
Precios
blog Blog de Edificios Saludables Ideas y perspectivas sobre edificios saludables y calidad del aire interior Downloads Descargas Técnicas Descarga documentación técnica de los productos Kaiterra support Soporte Base de conocimientos, guías prácticas y solución de problemas Security Icon Seguridad Medidas de seguridad que implementamos para proteger tus datos resources Centro de Aprendizaje Recursos educativos elaborados por expertos en calidad del aire compare Eventos Próximos eventos y sesiones a demanda de Kaiterra
WELL Compliance Report - Menu
FUNCIÓN DEL PANEL Informe de cumplimiento WELL Más información
ebook - Business Case for IAQ
LIBRO ELECTRÓNICO El caso empresarial de la calidad del aire interior Descargar
about Acerca de Descubra cómo transformamos la experiencia humana a través de edificios saludables, inteligentes y sostenibles. career Carreras ¿Listo para generar un impacto? Explora nuestras vacantes disponibles. contact@2x Contacto Ponte en contacto para hablar de un proyecto, una colaboración, o para obtener asistencia rápida y dedicada.

Acuerdo de procesamiento de datos

Última actualización: 25 de mayo de 2026

Este Acuerdo de Procesamiento de Datos ("DPA") forma parte del Acuerdo Maestro de Suscripción de Kaiterra, los Términos de Servicio de Kaiterra, los Términos de Compra de Kaiterra u otro acuerdo por escrito que haga referencia a este DPA (el "Acuerdo") entre Origins Technology Limited ("Kaiterra") y el cliente que es parte del Acuerdo ("Cliente"). El plazo de este DPA es co-término con el plazo del Acuerdo. Los términos no definidos en este DPA tienen el significado que se les da en el Acuerdo.

Los clientes que requieran una copia refrendada de este DPA pueden solicitarla en privacy@kaiterra.com.

1. Definiciones

A los efectos de este DPA:

  • "Ley de Protección de Datos Aplicable" significa todas las leyes de privacidad y protección de datos aplicables al procesamiento de Datos Personales por una de las Partes en virtud del Acuerdo, incluyendo, cuando corresponda, el Reglamento General de Protección de Datos de la UE (Reglamento (UE) 2016/679, el "RGPD"), el Reglamento General de Protección de Datos del Reino Unido tal como forma parte de la ley de Inglaterra y Gales, Escocia e Irlanda del Norte en virtud del artículo 3 de la Ley (de Retirada) de la Unión Europea de 2018 (el "RGPD del Reino Unido"), la Ley Federal Suiza de Protección de Datos (la "FADP"), la Ley de Privacidad del Consumidor de California de 2018 modificada por la Ley de Derechos de Privacidad de California de 2020 (la "CCPA") y las demás leyes de privacidad integrales de los estados de EE. UU. promulgadas y vigentes de vez en cuando, y cualquier otra ley nacional, federal, estatal o subnacional aplicable relativa al procesamiento de Datos Personales.
  • "Responsable del Tratamiento", "Encargado del Tratamiento", "Interesado", "Datos Personales", "Violación de la Seguridad de los Datos Personales", "Tratamiento" (y sus derivados) y "Categorías Especiales de Datos Personales" tienen cada uno el significado que se les da en el RGPD. Los términos equivalentes bajo otras Leyes de Protección de Datos Aplicables (incluyendo "Empresa", "Proveedor de Servicios", "Venta", "Compartir", "Consumidor" e "Información Personal Sensible" bajo la CCPA) se interpretarán en consecuencia.
  • "Datos Personales del Cliente" significa los Datos Personales que Kaiterra procesa en nombre del Cliente en relación con el uso que hace el Cliente de los Productos Kaiterra.
  • "Datos Derivados" significa los datos que se agregan, desidentifican o anonimizan de una manera que impide la reidentificación de cualquier Interesado, Cliente o usuario final, incluidos los datos estadísticos, técnicos, de rendimiento y de evaluación comparativa derivados del uso del Cliente de los Productos Kaiterra.
  • "CCT de la UE" (Cláusulas Contractuales Tipo de la UE) significa las cláusulas contractuales tipo aprobadas por la Comisión Europea en la Decisión de Ejecución (UE) 2021/914 de 4 de junio de 2021, disponibles en http://data.europa.eu/eli/dec_impl/2021/914/oj, actualizadas de vez en cuando.
  • "Productos Kaiterra" significa el hardware, software, servicios en la nube y otros productos de Kaiterra y los servicios asociados puestos a disposición del Cliente por Kaiterra en virtud del Acuerdo.
  • "Subencargado del Tratamiento" significa cualquier Encargado contratado por Kaiterra para tratar los Datos Personales del Cliente.
  • "Página de Subencargados" significa la lista de Subencargados del Tratamiento mantenida por Kaiterra en https://www.kaiterra.com/legal/subprocessors, actualizada de vez en cuando.
  • "Anexo del Reino Unido" significa el Anexo de Transferencia Internacional de Datos a las Cláusulas Contractuales Tipo de la Comisión de la UE emitido por el Comisionado de Información del Reino Unido en virtud del artículo 119A de la Ley de Protección de Datos de 2018 y presentado ante el Parlamento el 2 de febrero de 2022, versión B1.0, disponible en https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/international-transfers/international-data-transfer-agreement-and-guidance/, según se revise periódicamente en virtud de la Sección 18 de las cláusulas obligatorias (las "Cláusulas Obligatorias del Anexo del Reino Unido").

2. Funciones de las Partes

2.1 Datos Personales del Cliente. El Cliente es el Responsable del Tratamiento y Kaiterra es el Encargado del Tratamiento de los Datos Personales del Cliente. Cuando el Cliente trate Datos Personales del Cliente como Encargado del Tratamiento en nombre de un Responsable del Tratamiento externo, Kaiterra tratará dichos Datos Personales del Cliente como Subencargado del Tratamiento.

2.2 Datos de cuenta y administrativos. Kaiterra trata un conjunto limitado de Datos Personales relativos a los usuarios autorizados del Cliente (incluidos nombres, direcciones de correo electrónico, cargos y registros de autenticación y acceso) como Responsable del Tratamiento independiente con fines de administración de cuentas, seguridad, prevención de fraudes, facturación, soporte y comunicaciones de servicio. Los términos del Aviso de Privacidad de Kaiterra se aplican a dicho Tratamiento.

2.3 Datos Derivados. Las Partes reconocen que los Datos Derivados no identifican, y no son razonablemente capaces de ser utilizados para identificar, al Cliente, a ninguno de los usuarios finales del Cliente, o a cualquier Interesado, y en consecuencia no constituyen Datos Personales según la Ley de Protección de Datos Aplicable. Kaiterra posee todos los derechos, títulos e intereses sobre los Datos Derivados y puede tratar los Datos Derivados para cualquier propósito, incluyendo investigación y desarrollo, entrenamiento de modelos de aprendizaje automático, evaluación comparativa y análisis estadístico, incluso después de la terminación del Acuerdo.

2.4 Alcance de los Datos Personales del Cliente. Los Productos Kaiterra están diseñados para tratar la calidad del aire interior y las mediciones ambientales. Tales mediciones, por sí mismas, no identifican a ninguna persona física y no son Datos Personales. Los Datos Personales se procesan en virtud de este DPA solo cuando es incidental para el funcionamiento de los Productos Kaiterra (como la información de la cuenta de usuario autorizado) o cuando el Cliente elige asociar Datos Personales con mediciones ambientales (como metadatos de habitación, ocupante o visitante).

3. Obligaciones de Tratamiento de Kaiterra

3.1 Instrucciones

Kaiterra tratará los Datos Personales del Cliente únicamente siguiendo las instrucciones documentadas del Cliente, las cuales se establecen en el Acuerdo, el Formulario de Pedido o la Declaración de Trabajo aplicable, y este DPA. Kaiterra informará al Cliente si, en opinión de Kaiterra, una instrucción infringe la Ley de Protección de Datos Aplicable, y podrá suspender el Tratamiento (salvo el almacenamiento y las medidas de seguridad) hasta que el Cliente emita una instrucción conforme. Cuando una obligación legal exija a Kaiterra tratar los Datos Personales del Cliente de una manera distinta a la indicada en las instrucciones del Cliente, Kaiterra notificará al Cliente antes de dicho Tratamiento, siempre que esté permitido.

3.2 Confidencialidad

Kaiterra garantizará que el personal autorizado para tratar los Datos Personales del Cliente esté sujeto a obligaciones de confidencialidad por escrito o se encuentre bajo una obligación estatutaria de confidencialidad adecuada, y que el acceso a los Datos Personales del Cliente se conceda sobre la base de la necesidad de conocer (need-to-know).

3.3 Seguridad

Kaiterra aplicará y mantendrá las medidas técnicas y organizativas adecuadas para proteger los Datos Personales del Cliente contra la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a los Datos Personales del Cliente. Las medidas que aplica Kaiterra se establecen en el Anexo 2 y en la página de seguridad de Kaiterra en https://www.kaiterra.com/security. Kaiterra puede actualizar sus medidas de seguridad de vez en cuando, siempre que cualquier actualización no reduzca materialmente el nivel general de protección otorgado a los Datos Personales del Cliente.

3.4 Violaciones de la Seguridad de los Datos Personales

Kaiterra notificará al Cliente de una Violación de la Seguridad de los Datos Personales que afecte a los Datos Personales del Cliente sin demora indebida, y en cualquier caso dentro de las 72 horas posteriores a la confirmación por parte de Kaiterra del conocimiento de la Violación. La notificación describirá la naturaleza de la Violación (en la medida en que se conozca entonces), las categorías y el número aproximado de Interesados y registros de Datos Personales afectados, las posibles consecuencias, las medidas adoptadas o propuestas para abordar la Violación y un punto de contacto en Kaiterra. Cuando no sea posible proporcionar toda la información al mismo tiempo, la información podrá proporcionarse por fases sin más dilación indebida. Kaiterra ayudará al Cliente, teniendo en cuenta la naturaleza del Tratamiento y la información de que disponga Kaiterra, a cumplir con las obligaciones de notificación del Cliente en virtud de la Ley de Protección de Datos Aplicable.

3.5 Solicitudes de los Interesados

Kaiterra proporcionará asistencia razonable, teniendo en cuenta la naturaleza del Tratamiento, para permitir que el Cliente responda a las solicitudes de los Interesados en virtud de la Ley de Protección de Datos Aplicable. Si Kaiterra recibe una solicitud de un Interesado directamente, Kaiterra informará al Interesado que dirija la solicitud al Cliente y notificará al Cliente sobre la solicitud sin demora indebida. El Cliente es el único responsable de responder a las solicitudes de los Interesados relativas a los Datos Personales del Cliente.

3.6 Evaluaciones de Impacto y Consultas sobre la Protección de Datos

Teniendo en cuenta la naturaleza del Tratamiento y la información de que disponga Kaiterra, Kaiterra proporcionará asistencia razonable al Cliente con las evaluaciones de impacto relativas a la protección de datos y las consultas previas con las autoridades de control exigidas por la Ley de Protección de Datos Aplicable con respecto a los Datos Personales del Cliente. Kaiterra puede cobrar una tarifa razonable por la asistencia que exceda materialmente la documentación estándar de Kaiterra.

3.7 Devolución o Eliminación

A la terminación o vencimiento del Acuerdo, y a elección por escrito del Cliente, Kaiterra devolverá o eliminará los Datos Personales del Cliente tratados en virtud de este DPA dentro de los 30 días, sujeto a (i) la rotación del sistema de copias de seguridad, tras la cual las copias residuales se sobrescribirán de forma segura en el curso normal; y (ii) cualquier retención requerida por ley o para establecer, ejercer o defender reclamaciones legales. Kaiterra continuará aplicando las obligaciones de seguridad y confidencialidad de este DPA a cualquier dato retenido durante el tiempo que se retenga.

4. Auditorías

4.1 Kaiterra pondrá a disposición del Cliente, previa solicitud razonable por escrito, la información necesaria para demostrar el cumplimiento por parte de Kaiterra de sus obligaciones en virtud de la Ley de Protección de Datos Aplicable y de este DPA. La documentación de seguridad vigente de Kaiterra, los informes de auditoría de terceros (si los hubiera) y los cuestionarios de seguridad completados satisfarán esta obligación en primera instancia.

4.2 Cuando la información facilitada con arreglo a la Sección 4.1 sea insuficiente, el Cliente podrá, no más de una vez en cualquier período de 12 meses y sujeto a un aviso previo por escrito de al menos 30 días, realizar una auditoría del Tratamiento por parte de Kaiterra de los Datos Personales del Cliente. Dichas auditorías se realizarán durante el horario comercial habitual, no interrumpirán de forma irrazonable las operaciones comerciales de Kaiterra, se realizarán de forma remota cuando sea razonablemente posible, y estarán sujetas a obligaciones de confidencialidad no menos protectoras que las del Acuerdo. Las auditorías que requieran acceso físico serán realizadas por un auditor independiente mutuamente aceptable a cargo del Cliente. Un regulador con jurisdicción sobre el Tratamiento podrá ejercer el derecho de auditoría en cualquier momento razonable.

5. Subencargados del Tratamiento

5.1 Autorización general. El Cliente autoriza a Kaiterra a contratar Subencargados para el Tratamiento de los Datos Personales del Cliente, con sujeción a los requisitos de esta Sección 5.

5.2 Lista actual. La lista actual de Subencargados del Tratamiento se mantiene en la Página de Subencargados en https://www.kaiterra.com/legal/subprocessors. El Cliente puede suscribirse para recibir notificaciones de actualización en esa página.

5.3 Notificación de cambios. Kaiterra avisará al Cliente con al menos 30 días de antelación sobre cualquier adición o sustitución prevista de un Subencargado del Tratamiento actualizando la Página de Subencargados y enviando una notificación al contacto de privacidad designado por el Cliente (o, si no hay ninguno designado, al contacto principal de la cuenta del Cliente). Cuando se aplique el período de preaviso mínimo de 14 días previsto en la Cláusula 9(a) de las CCT de la UE, Kaiterra ejerce su derecho en virtud de dicha Cláusula de proporcionar el período de preaviso más largo establecido en esta Sección.

5.4 Objeción. El Cliente puede oponerse a un nuevo Subencargado del Tratamiento basándose en motivos razonables de protección de datos mediante notificación por escrito a Kaiterra dentro del período de preaviso. Las Partes trabajarán juntas de buena fe para abordar la objeción. Si las Partes no pueden resolver la objeción, el Cliente puede, como su único y exclusivo recurso, rescindir la parte afectada de los Productos Kaiterra mediante notificación por escrito con un reembolso prorrateado de las tarifas pagadas por adelantado por el plazo no utilizado.

5.5 Obligaciones del Subencargado del Tratamiento. Kaiterra celebrará un acuerdo por escrito con cada Subencargado que imponga obligaciones de protección de datos no menos protectoras que las establecidas en este DPA. Kaiterra sigue siendo plenamente responsable ante el Cliente por el cumplimiento de las obligaciones de cada Subencargado.

6. Transferencias Internacionales de Datos

6.1 Ubicación de alojamiento

Los Datos Personales del Cliente tratados en virtud de este DPA se alojan en la infraestructura de Amazon Web Services ubicada en Frankfurt, Alemania (eu-central-1), o en cualquier otra ubicación que Kaiterra notifique al Cliente por adelantado, siempre que dicho cambio no reduzca materialmente el nivel general de protección otorgado a los Datos Personales del Cliente.

6.2 Acceso por personal distribuido globalmente

El Cliente reconoce que el personal y los Subencargados de Kaiterra están ubicados en múltiples jurisdicciones y que el acceso por parte de dicho personal y Subencargados a los Datos Personales del Cliente a los efectos de proporcionar, dar soporte y operar los Productos Kaiterra puede constituir una transferencia de Datos Personales en virtud de la Ley de Protección de Datos Aplicable. Dichas transferencias están sujetas a las salvaguardas establecidas en esta Sección 6.

6.3 CCT de la UE

En la medida en que la transferencia por parte del Cliente de los Datos Personales del Cliente a Kaiterra requiera un mecanismo de transferencia en virtud del RGPD, las CCT de la UE se incorporan al presente DPA por referencia y se aplican de la siguiente manera:

  • Cuando el Cliente es un Responsable del Tratamiento y Kaiterra es un Encargado del Tratamiento de los Datos Personales del Cliente, se aplica el Módulo Dos (De Responsable a Encargado).
  • Cuando el Cliente es un Encargado y Kaiterra es un Subencargado del Tratamiento de los Datos Personales del Cliente, se aplica el Módulo Tres (De Encargado a Encargado).
  • A los efectos de la Cláusula 7 (cláusula de acoplamiento): se aplica la cláusula de acoplamiento opcional.
  • A los efectos de la Cláusula 9(a) (autorización general por escrito): se aplica la Opción 2, con el período de notificación establecido en la Sección 5.3 de este DPA.
  • A los efectos de la Cláusula 11 (reparación): el órgano independiente de resolución de litigios opcional no se aplica.
  • A los efectos de la Cláusula 17 (ley aplicable): las CCT de la UE se rigen por las leyes de Irlanda.
  • A los efectos de la Cláusula 18 (elección de foro y jurisdicción): las disputas derivadas de las CCT de la UE se resuelven ante los tribunales de Irlanda.
  • Los Anexos I, II y III de las CCT de la UE se completan tal como se establece en el Anexo 1 (detalles de la transferencia), el Anexo 2 (medidas técnicas y organizativas) y la Sección 5 (subencargados) de este DPA.
  • En caso de cualquier conflicto entre las CCT de la UE y el cuerpo de este DPA, prevalecen las CCT de la UE.

6.4 Anexo del Reino Unido

En la medida en que la transferencia por parte del Cliente de los Datos Personales del Cliente a Kaiterra requiera un mecanismo de transferencia bajo el RGPD del Reino Unido, el Anexo del Reino Unido se incorpora a este DPA por referencia. Las Partes acuerdan lo siguiente a los efectos del Anexo del Reino Unido:

  • El Anexo del Reino Unido se incorpora por referencia utilizando las Cláusulas Obligatorias Alternativas de la Parte 2: "Parte 2: Cláusulas Obligatorias del Anexo Aprobado, siendo la plantilla del Anexo B.1.0 emitida por el ICO y presentada ante el Parlamento de conformidad con la sección 119A de la Ley de Protección de Datos de 2018 el 2 de febrero de 2022, tal como se revisa en virtud de la Sección 18 de dichas Cláusulas Obligatorias".
  • Las Tablas 1, 2, 3 y 4 del Anexo del Reino Unido se completan de la siguiente manera:
    • Tabla 1 (Partes): tal como se establece en el Anexo 1.A de este DPA.
    • Tabla 2 (CCT seleccionadas, Módulos y cláusulas seleccionadas): las CCT de la UE incorporadas en virtud de la Sección 6.3 de este DPA, con las selecciones de módulos, las cláusulas opcionales y las elecciones realizadas allí.
    • Tabla 3 (Información del Apéndice): Anexo 1A — tal como se establece en el Anexo 1.A; Anexo 1B — tal como se establece en el Anexo 1.B; Anexo 2 — tal como se establece en el Anexo 2; Anexo 3 — tal como se establece en la Sección 5 de este DPA.
    • Tabla 4 (Terminación del Anexo cuando el Anexo Aprobado cambie): el Importador (Kaiterra) puede terminar el Anexo cuando la versión aprobada cambie, de acuerdo con la Sección 19 de las Cláusulas Obligatorias.

6.5 Suiza

En la medida en que las transferencias de Datos Personales del Cliente estén sujetas a la FADP, las CCT de la UE se aplican con las siguientes adaptaciones: (i) el término "Estado miembro" se interpreta para incluir a Suiza; (ii) las referencias al RGPD se leen como referencias a la FADP, según corresponda; (iii) la autoridad de control competente es el Comisionado Federal Suizo de Protección de Datos e Información; y (iv) cuando la FADP proteja los Datos Personales de personas jurídicas hasta que se elimine dicha protección, las CCT de la UE también se aplicarán a dichos Datos Personales.

6.6 Transferencias sucesivas

Cuando Kaiterra transfiera Datos Personales del Cliente a un Subencargado en un tercer país, Kaiterra se asegurará de que la transferencia se rija por un mecanismo de transferencia adecuado bajo la Ley de Protección de Datos Aplicable, incluyendo (cuando corresponda) las CCT de la UE, el Anexo del Reino Unido, el Marco de Privacidad de Datos UE-EE. UU. u otras salvaguardas reconocidas.

6.7 Suplementos regionales

Cuando la implementación de los Productos Kaiterra para el Cliente implique un Tratamiento en una jurisdicción con requisitos de residencia de datos, transferencia o registro específicos de la región, las Partes suscribirán términos complementarios según sea razonablemente necesario para el cumplimiento de la Ley de Protección de Datos Aplicable en esa jurisdicción. Los clientes con dichos requisitos deben comunicarse con privacy@kaiterra.com.

7. Leyes de Privacidad de los Estados de EE. UU.

7.1 Los términos de esta Sección 7 se aplican en la medida en que los Datos Personales del Cliente incluyan Datos Personales de consumidores, residentes u hogares sujetos a la CCPA o cualquier otra ley de privacidad integral de los estados de EE. UU.

7.2 Kaiterra es un "proveedor de servicios", "encargado" o rol análogo bajo la CCPA y otras leyes de privacidad integrales estatales de EE. UU. con respecto a los Datos Personales del Cliente. Kaiterra deberá:

(a) Tratar los Datos Personales del Cliente únicamente para los fines comerciales limitados y especificados en el Acuerdo y bajo las instrucciones documentadas del Cliente;

(b) no Vender ni Compartir los Datos Personales del Cliente, y no retener, usar o divulgar los Datos Personales del Cliente para ningún propósito que no sea el propósito comercial especificado en el Acuerdo, lo que incluye no retener, usar o divulgar los Datos Personales del Cliente fuera de la relación comercial directa entre las Partes o para cualquier propósito comercial que no sea proporcionar los Productos Kaiterra;

(c) no combinar los Datos Personales del Cliente con los Datos Personales que Kaiterra recibe de o en nombre de otra persona o que Kaiterra recopila directamente de un consumidor, excepto según lo permita la Ley de Protección de Datos Aplicable;

(d) proporcionar asistencia razonable al Cliente para responder a las solicitudes de los consumidores de acceso, eliminación, corrección, exclusión voluntaria (opt-out) u otros derechos bajo la Ley de Protección de Datos Aplicable;

(e) notificar al Cliente si Kaiterra determina que ya no puede cumplir con sus obligaciones bajo la Ley de Protección de Datos Aplicable;

(f) previa solicitud razonable por escrito del Cliente, certificar el cumplimiento de Kaiterra con esta Sección 7; y

(g) permitir al Cliente, mediante notificación por escrito a Kaiterra, tomar medidas razonables y apropiadas para detener y remediar el uso no autorizado de los Datos Personales del Cliente, incluso ejerciendo los derechos de auditoría establecidos en la Sección 4.

7.3 El Cliente otorga a Kaiterra un derecho limitado para (i) compilar información estadística agregada y desidentificada como Datos Derivados según la Sección 2.3, y (ii) detectar incidentes de seguridad y prevenir el fraude, en cada caso en la medida permitida por la Ley de Protección de Datos Aplicable.

8. Cumplimiento sobre Países de Preocupación

8.1 Kaiterra cumple con las leyes aplicables que restringen las transferencias masivas de datos personales confidenciales de EE. UU. a "países de preocupación" o "personas cubiertas", incluida la regla promulgada por el Departamento de Justicia de EE. UU. en 28 CFR Parte 202 que implementa la Orden Ejecutiva 14117 (la "Regla Final").

8.2 Los Datos Personales del Cliente tratados en virtud de este DPA consisten principalmente en mediciones ambientales de interiores y datos de contacto e identificación limitados para usuarios autorizados. Dichos datos no constituyen "datos personales confidenciales masivos de EE. UU." tal como se define en la Regla Final, y el Tratamiento de los Datos Personales del Cliente en virtud de este DPA no es una "transacción de datos cubierta" en el sentido de la Regla Final.

8.3 Si Kaiterra determina que cualquier Tratamiento de Datos Personales del Cliente bajo el Acuerdo puede ser o convertirse en una transacción de datos cubierta, Kaiterra notificará al Cliente sin demora indebida y las Partes negociarán de buena fe las salvaguardias adicionales que puedan ser requeridas.

8.4 El acceso a los Datos Personales del Cliente por parte del personal de Kaiterra está restringido al personal cuyas funciones requieran acceso, se rige por controles de acceso basados en roles y queda registrado.

9. Responsabilidad

Este DPA está sujeto a, y la responsabilidad de cada Parte bajo este DPA se rige por, las limitaciones y exclusiones de responsabilidad establecidas en el Acuerdo. Nada en esta Sección limita la responsabilidad de una Parte en la medida en que dicha responsabilidad no pueda limitarse por la Ley de Protección de Datos Aplicable, incluido el derecho de un Interesado a una indemnización en virtud del Artículo 82 del RGPD.

10. Cambios a este DPA

10.1 Kaiterra puede actualizar este DPA de vez en cuando para reflejar los cambios en la Ley de Protección de Datos Aplicable, las directrices reglamentarias, los Productos Kaiterra o los Subencargados y las medidas de seguridad de Kaiterra. Las actualizaciones no materiales entran en vigor tras la publicación del DPA revisado en la URL establecida en el Acuerdo.

10.2 Cuando una actualización reduzca materialmente las protecciones otorgadas a los Datos Personales del Cliente o imponga una nueva obligación material al Cliente, Kaiterra notificará al Cliente con al menos 30 días de antelación. Si el Cliente se opone razonablemente a la actualización, las Partes negociarán de buena fe. Si las Partes no pueden llegar a un acuerdo dentro de los 30 días posteriores a la objeción del Cliente, el Cliente puede rescindir la parte afectada del Acuerdo mediante notificación por escrito con un reembolso prorrateado de las tarifas pagadas por adelantado por el período no utilizado.

11. General

11.1 Orden de prelación. En caso de conflicto entre este DPA y el Acuerdo con respecto al Tratamiento de los Datos Personales del Cliente, prevalece este DPA. En caso de conflicto entre este DPA y las CCT de la UE o el Anexo del Reino Unido (cuando estén incorporados), prevalecen las CCT de la UE o el Anexo del Reino Unido.

11.2 Divisibilidad. Si alguna disposición de este DPA se considera inválida o inaplicable, las disposiciones restantes permanecerán en pleno vigor y efecto.

11.3 Ley aplicable. Excepto cuando la Ley de Protección de Datos Aplicable, las CCT de la UE o el Anexo del Reino Unido exijan lo contrario, este DPA se rige por la ley especificada en el Acuerdo.

11.4 Notificaciones. Las notificaciones a Kaiterra en virtud de este DPA se envían a privacy@kaiterra.com. Las notificaciones al Cliente se envían al contacto de privacidad o de la cuenta principal en los registros de Kaiterra.

Anexo 1 — Detalles de la Transferencia

1.A Lista de Partes

Exportador de datos. El Cliente que es parte del Acuerdo. Los datos de contacto, la función (Responsable del Tratamiento o Encargado del Tratamiento) y las actividades relevantes para la transferencia son los establecidos en el Acuerdo y en el Formulario de Pedido o Declaración de Trabajo aplicable. Cuando este DPA se ejecuta como parte de la aceptación por parte del Cliente de los términos estándar de Kaiterra, el Exportador de Datos se identifica por el registro de la cuenta asociada con el Acuerdo.

Importador de datos.

Nombre Origins Technology Limited (operando como Kaiterra)
Dirección Flat/Room 603, 6/F, Laws Commercial Plaza, 788 Cheung Sha Wan Road, Cheung Sha Wan, Kowloon, Hong Kong SAR
Contacto privacy@kaiterra.com
Función Encargado (Módulo Dos) o Subencargado (Módulo Tres) de los Datos Personales del Cliente; Responsable del Tratamiento independiente de cuentas/datos administrativos y Datos Derivados según lo establecido en las Secciones 2.2 y 2.3
Actividades relevantes para la transferencia Provisión, operación y soporte de los Productos Kaiterra

1.B Descripción de la Transferencia

Categorías de Interesados Usuarios autorizados del Cliente (incluidos empleados, contratistas y administradores); cuando el Cliente elija asociar Datos Personales con mediciones ambientales, ocupantes y visitantes de las instalaciones del Cliente.
Categorías de Datos Personales Datos de identificación y contacto (nombre, correo electrónico, cargo, información de contacto); detalles de empleo (empleador, identificador de empleado o usuario, cargo, departamento); datos de uso (datos técnicos, estadísticos y de rendimiento relacionados con el uso de los Productos Kaiterra); registros de autenticación y acceso; y otros datos electrónicos que el Cliente elija enviar, almacenar, recibir o transmitir a través de los Productos Kaiterra, que pueden incluir metadatos de habitaciones, ocupantes o visitantes asociados a mediciones ambientales.
Categorías Especiales de Datos Personales Ninguna. El Cliente no enviará Categorías Especiales de Datos Personales a los Productos Kaiterra sin el consentimiento previo por escrito de Kaiterra.
Frecuencia de la transferencia Continua durante la vigencia del Acuerdo.
Naturaleza del Tratamiento Alojamiento, almacenamiento, transmisión, acceso, análisis, soporte y operación de los Productos Kaiterra.
Finalidad del Tratamiento Provisión de los Productos Kaiterra al Cliente de acuerdo con el Acuerdo y las instrucciones documentadas del Cliente.
Período de retención Duración del Acuerdo, más hasta 30 días para devolución o eliminación, más retención residual en sistemas de copia de seguridad hasta la rotación (sin superar los 12 meses desde la terminación), más cualquier retención requerida por ley o para establecer, ejercer o defender reclamaciones legales.
Subencargados del Tratamiento Tal como se establece en la Página de Subencargados y en la Sección 5 de este DPA. El objeto, la naturaleza y la duración del Tratamiento del Subencargado son los descritos en la Página de Subencargados.

1.C Autoridad de Control Competente

Para el Tratamiento sujeto al RGPD, la autoridad de control competente es la Comisión de Protección de Datos de Irlanda, a menos que una autoridad de control diferente sea competente en virtud del Artículo 56 del RGPD.

Para el Tratamiento sujeto al RGPD del Reino Unido, la autoridad de control competente es la Oficina del Comisionado de Información del Reino Unido.

Para el Tratamiento sujeto a la FADP, la autoridad de control competente es el Comisionado Federal Suizo de Protección de Datos e Información.

Anexo 2 — Medidas Técnicas y Organizativas

Este Anexo establece las medidas técnicas y organizativas implementadas por Kaiterra para proteger los Datos Personales del Cliente, de acuerdo con el Artículo 32 del RGPD, la Cláusula 8.6 de las CCT de la UE y los requisitos equivalentes en virtud de la Ley de Protección de Datos Aplicable. Kaiterra puede actualizar estas medidas de vez en cuando, siempre que cualquier actualización no reduzca materialmente el nivel general de protección otorgado a los Datos Personales del Cliente.

1. Programa de seguridad de la información

Kaiterra mantiene un programa de seguridad de la información por escrito que incluye políticas, procedimientos y normas que rigen la seguridad de los Datos Personales del Cliente. El programa se revisa al menos anualmente. Kaiterra implementa prácticas de seguridad alineadas con los principales marcos de la industria para el diseño y funcionamiento de su programa de seguridad.

2. Alojamiento y seguridad física

Los Datos Personales del Cliente se alojan en la infraestructura de Amazon Web Services ubicada en Frankfurt, Alemania (eu-central-1). La seguridad física y ambiental de la infraestructura de alojamiento es proporcionada por AWS de acuerdo con el modelo de responsabilidad compartida de AWS y las certificaciones y atestaciones publicadas por AWS de vez en cuando, incluyendo ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 y SOC 1 y SOC 2 Tipo II.

Las instalaciones de oficina mantenidas por Kaiterra están aseguradas mediante controles de acceso físico adecuados (incluido acceso con tarjeta, puertas cerradas con llave y gestión de visitantes) acordes con la sensibilidad de las actividades que se realizan allí.

3. Control de acceso

(a) El acceso a los sistemas que tratan los Datos Personales del Cliente requiere identificadores de usuario únicos y autenticación.

(b) Se requiere autenticación multifactor para todo acceso administrativo y de producción.

(c) El acceso se concede sobre la base del menor privilegio, basado en roles y limitado en el tiempo. El acceso se revisa al menos anualmente y se revoca rápidamente ante un cambio de rol o terminación.

(d) Las credenciales de producción no se comparten. Las acciones privilegiadas quedan registradas.

(e) La gestión de sesiones incluye tiempos de espera de inactividad adecuados y protección contra ataques de relleno de credenciales (credential-stuffing) y de fuerza bruta.

4. Cifrado

(a) Los Datos Personales del Cliente se cifran en reposo utilizando AES-256 o un algoritmo estándar equivalente de la industria.

(b) Los Datos Personales del Cliente se cifran en tránsito entre los dispositivos del Cliente, los dispositivos de Kaiterra y los sistemas de Kaiterra utilizando TLS 1.2 o superior, o un protocolo estándar equivalente de la industria.

(c) La gestión de claves criptográficas sigue procedimientos establecidos, que incluyen el acceso restringido a las claves y la rotación de claves.

5. Seguridad de redes y sistemas

(a) La segregación de la red, los cortafuegos y los grupos de seguridad aíslan los entornos de producción de los entornos que no son de producción.

(b) El escaneo de vulnerabilidades se realiza de forma regular, y las vulnerabilidades identificadas se corrigen de acuerdo con plazos documentados basados en la gravedad.

(c) Las pruebas de penetración independientes se realizan al menos una vez al año. Los hallazgos materiales se remedian y se vuelven a evaluar.

(d) Existe un registro y monitoreo centralizado de eventos relevantes de seguridad, con procedimientos de alerta y revisión.

(e) Se implementan controles antimalware en puntos finales (endpoints) y sistemas cuando corresponde.

6. Desarrollo de software seguro

(a) El software se desarrolla utilizando un ciclo de vida de desarrollo seguro documentado que incluye revisión de código, gestión de dependencias y pruebas.

(b) Los despliegues de producción están sujetos a procedimientos de gestión de cambios, incluyendo autorización y trazabilidad.

(c) El código fuente se almacena en repositorios con acceso controlado con protección de ramas.

7. Personal

(a) El personal con acceso a los Datos Personales del Cliente está sujeto a obligaciones de confidencialidad por escrito.

(b) Se realizan verificaciones de antecedentes del nuevo personal donde lo permita la Ley de Protección de Datos Aplicable.

(c) El personal recibe capacitación en seguridad y protección de datos al momento de la contratación y al menos una vez al año a partir de entonces.

(d) El acceso a los Datos Personales del Cliente se revoca rápidamente tras la terminación del empleo o la contratación.

8. Respuesta a incidentes y notificación de violaciones

(a) Kaiterra mantiene un plan de respuesta a incidentes documentado que se revisa y prueba al menos anualmente.

(b) La notificación de la Violación de la Seguridad de los Datos Personales al Cliente se rige por la Sección 3.4 del DPA.

9. Continuidad del negocio y recuperación ante desastres

(a) Se realizan copias de seguridad de los Datos Personales del Cliente de manera regular. Las copias de seguridad se cifran y almacenan de forma que las proteja contra la pérdida.

(b) Kaiterra mantiene planes documentados de continuidad del negocio y recuperación ante desastres, incluyendo objetivos de tiempo de recuperación y punto de recuperación.

(c) El alojamiento está configurado para redundancia de múltiples zonas de disponibilidad dentro de la región de alojamiento principal.

10. Gestión de Proveedores y Subencargados

(a) Kaiterra evalúa a los Subencargados y otros proveedores con acceso a los Datos Personales del Cliente antes de la contratación frente a criterios documentados de seguridad y privacidad.

(b) Los Subencargados están sujetos a acuerdos escritos que imponen obligaciones de protección de datos no menos protectoras que este DPA.

(c) Los Subencargados del Tratamiento se enumeran en la Página de Subencargados.

11. Segregación de datos

Los Datos Personales del Cliente se segregan lógicamente de los datos de otros clientes en una infraestructura compartida mediante identificadores de inquilinos (tenants), controles de acceso y separación a nivel de base de datos.

12. Auditoría y garantía

Kaiterra mantiene documentación suficiente para demostrar el cumplimiento de este Anexo y del DPA, y pone dicha documentación a disposición del Cliente de conformidad con la Sección 4 del DPA.

Anexo 3 — Subencargados del Tratamiento

La lista actual de Subencargados autorizados en virtud de este DPA se mantiene en https://www.kaiterra.com/legal/subprocessors. La Página de Subencargados identifica, para cada Subencargado, su nombre, ubicación, las categorías de Tratamiento realizadas y las categorías de Datos Personales del Cliente a las que se accede. La Página de Subencargados se incorpora a este DPA por referencia y constituye el Anexo III de las CCT de la UE y el anexo correspondiente del Anexo del Reino Unido.