Acuerdo de Tratamiento de Datos (“DPA”) celebrado entre REBUILDING TECHNOLOGY PTE. LTD. (“DiDi" o el “Responsable”) y Usted (el "Restaurante" o el “Encargado”) (cada uno denominado como "Parte" y colectivamente como "Partes").
ANTECEDENTE
El Restaurante ha firmado un Contrato de Servicios (en adelante, el "Contrato de Servicios") respecto al envío de alimentos con DiDi para obtener Servicios a través de la Plataforma DiDi Food (en adelante, la "Plataforma de Entrega") que implica el tratamiento de los Datos Personales recabados por DiDi. Este DPA entre DiDi y el Restaurante se aplicará a todo el tratamiento de los datos personales recabados por DiDi para que el Restaurante haga uso de los servicios en términos del Acuerdo de Servicios.
1. OBJETO.
El objeto de este DPA es definir los derechos y obligaciones de cada Parte en relación con el Tratamiento de Datos Personales definido en este Acuerdo.
2. TRATAMIENTO.
El Restaurante tratará los Datos Personales recabados por DiDi con el único propósito de utilizar los Servicios proporcionados a través de la Plataforma de Entrega ("Tratamiento de Datos Personales"). El alcance inicial de las instrucciones de DiDi para el Tratamiento de Datos Personales se define en este DPA. DiDi puede proporcionar instrucciones adicionales que el Restaurante debe cumplir. En caso de que Restaurante no ejecute una instrucción, DiDi podrá finalizar la prestación de los Servicios bastando una notificación por escrito al Restaurante. Si el Restaurante considera que una instrucción viola las leyes aplicables de protección de datos, el Restaurante informará inmediatamente a DiDi.
Las Partes reconocen y acuerdan con respecto al Tratamiento de Datos Personales, que DiDi es el Responsable de los Datos y el Restaurante es el Encargado de los Datos y el Restaurante deberá cumplir con las Leyes de Protección de Datos Aplicables con respecto al Tratamiento de Datos Personales aplicables a los Encargados y es responsable de la legalidad del tratamiento del Restaurante de los Datos Personales recabados por DiDi.
DiDi determinará el alcance, los propósitos y la manera en que el Restaurante puede acceder o procesar los Datos Personales.
La finalidad por la cual el Restaurante procesará los Datos Personales recabados por DiDi se establecen en el Anexo “A”.
3. AVISO DE PRIVACIDAD.
DiDi reconoce que los propósitos del Tratamiento descrito en la Cláusula 2 se establecen en su Aviso de Privacidad. De conformidad con las Leyes de Protección de Datos Aplicables, DiDi pone a disposición de Restaurante su Aviso de Privacidad, mismo que se adjunta como Anexo "B"; éste se encuentra sujeto a modificaciones adicionales periódicamente.
4. OBLIGACIONES DEL RESTAURANTE.
El Restaurante garantiza y se compromete a:
1) Implementar y mantener medidas técnicas y organizacionales; debiendo incluir éstas según corresponda, lo siguiente:
a. asegurarse que las personas autorizadas para el tratamiento de los Datos Personales tengan la obligación legal de confidencialidad correspondiente. Dicha obligación de confidencialidad incluirá una capacitación anual sobre seguridad y privacidad y continuará indefinidamente. El Restaurante demostrará que cumple con esta obligación proporcionando pruebas suficientes a DiDi a solicitud escrita de DiDi;
b. tomar las medidas necesarias relacionadas con la seguridad del Tratamiento;
c. poner a disposición de DIDI toda la información necesaria que demuestre el cumplimiento de la sobligaciones establecidas en este DPA, así como contribuir con las auditorías y/o inspecciones que DiDi realice por sí misma o a través de los auditores que establezca.
d. deberá informar inmediatamente a DiDi en caso de que alguna instrucción proporcionada por DiDi infrinja o sea contraria a las Leyes de Protección de Datos Aplicables.
El Restaurante deberá tener por escrito una política de seguridad respecto al Tratamiento de Datos Personales.
El Restaurante no divulgará los Datos personales a ningún tercero, a menos que lo autorice DiDi o que sea requerido por ministerio de ley. En caso de que alguna Autoridad exija el acceso a los Datos Personales, el Restaurante notificará a DiDi antes de la divulgación, a menos que la ley lo prohíba. Si se prohíbe al Restaurante notificar a DiDi, el Restaurante tomará las medidas necesarias para impugnar la prohibición a través de una acción judicial u otros medios que tenga disponibles.
El Restaurante no debe transferir Datos Personales a ninguna otra jurisdicción, sin el consentimiento previo por escrito de DiDi y sin celebrar el convenio de transferencia adecuado u otro mecanismo apropiado para cumplir con las Leyes de Protección de Datos Aplicables.
5. CONFIDENCIALIDAD.
Sin perjuicio de cualquier convenio, contrato o arreglo existente entre las Partes, las Partes deberán tratar todos los Datos Personales como estrictamente confidenciales, y deberán informar a sus empleados, agentes y/o terceros involucrados en el tratamiento, sobre la naturaleza confidencial de los Datos Personales.
6. DEVOLUCIÓN O DESTRUCCIÓN DE DATOS PERSONALES.
A la terminación de este DPA, a solicitud por escrito de DiDi, o al cumplirse con todas las obligaciones acordadas en el contexto del Contrato de Servicios, por el cual no se requiera un Tratamiento adicional, el Restaurante a discreción de DiDi, eliminará, destruirá o devolverá todos los Datos Personales que tenga en su poder, incluyendo sus copias.
7. SOLICITUDES POR PARTE DE LOS PROPIETARIOS DE DATOS PERSONALES.
El Restaurante, en la medida permitida por la Ley, deberá notificar inmediatamente a DiDi, cuando reciba alguna solicitud por parte de algún sujeto propietario de los Datos Personales (por ejemplo: acceso, rectificación, cancelación, oposición) en relación con sus Datos Personales (“Solicitud por parte del Propietario”). Considerando la naturaleza del Tratamiento, el Restaurante, en calidad de Encargado de los Datos Personales, deberá hacer todo lo posible por ayudar a DiDi a tomar las medidas apropiadas de naturaleza técnica y organizacional para cumplir con la obligación de atender la Solicitud por parte del Propietario de conformidad las Leyes de Protección de Datos Aplicables.
8. INCIDENTES CON LOS DATOS PERSONALES.
En caso de algún incidente de acceso no autorizado, filtraciones o pérdida de Datos Personales, independiente del motivo que lo haya causado, el Restaurante deberá notificar inmediatamente por escrito a DiDi, asegurándose que dicha notificación sea recibida por DiDi, señalando cuando menos la información siguiente:
i. Hora y Fecha del Incidente;
ii. Relación de los tipos de datos afectados por el incidente;
iii. Número de sujetos Propietarios de Datos Personales afectados;
iv. Datos de contacto de la persona a cargo de los Datos Personales, así como de otras personas que pudieran proporcionar más información sobre lo ocurrido;
v. Descripción de las posibles consecuencias del incidente; e
vi. Indicación de las medidas adoptadas para reparar el daño y evitar nuevos incidentes.
En caso que el Restaurante no tenga toda la información al momento de notificar a DiDi, éste deberá proporcionar la información con la que cuente, obligándose a enviar la totalidad de ésta en un máximo de 24 horas a partir de que se tenga conocimiento del incidente.
9. RESOLUCIÓN DE CONTROVERSIAS CON PROPIETARIOS DE DATOS PERSONALES.
En caso de controversias o reclamos por parte de un sujeto Propietario de Datos Personales, o por parte de alguna Autoridad, relacionados con el Tratamiento de Datos Personales contra una o ambas Partes, las Partes se obligan a informarse mutuamente sobre cualquier controversia o reclamación de este tipo y cooperaran con el objetivo de resolverlos oportunamente de una forma amigable.
10. RESPONSABLIDAD.
Cada Parte será responsable por todos los daños directos, responsabilidades, pérdidas, así como de todos los gastos y costos (incluidos los honorarios razonables de abogados) que resulten de su incumplimiento a una o más de sus obligaciones conforme a este DPA.
11. VIGENCIA.
Este DPA será vinculante y obligatorio a partir de la fecha de firma del Contrato de Servicios entre DiDi y el Restaurante y se mantendrá vigente hasta la terminación del Contrato de Servicios.
12. RESOLUCIÓN DE CONTROVERSIAS.
Este Acuerdo se gobernará por las leyes Federales de México. En caso de conflicto entre las Partes, las Partes se someten a la jurisdicción de los Tribunales competentes de la Ciudad de México.
ANEXO “A”
A continuación se detalla la finalidad por la cual el Restaurante procesará los Datos Personales recabados por DiDi.
1. Naturaleza, finalidad y objeto del Tratamiento de Datos Personales.
La naturaleza, finalidad y objeto del Tratamiento de Datos Personales para el uso de los Servicios a través de la Plataforma de Entrega, incluye las siguientes actividades básicas:
Pedidos para la preparación de alimentos conforme a las instrucciones proporcionadas por el Usuario, y entrega de alimentos a través de Socios de Entrega asignados.
2. Duración del Tratamiento.
La duración del Tratamiento corresponderá a la vigencia del DPA.
3. Sujetos Propietarios de Datos Personales.
Usuarios y Socios de Entrega.
4. Tipos de Información que se recaba.
Información relativa a los pedidos que hace un Usuario, incluyendo sin limitar: datos de contacto del Usuario; tipo de alimento; información de precios y método de pago; Datos de contacto del Socio de Usuario asignado.
ANEXO “B”
AVISO DE PRIVACIDAD DE DIDI
Para Usuarios: aaaaaaaaaaaaaaaaaaaaaaaa
Para Socios de Entrega:
ANEXO “C”
DEFINICIONES
A menos que se establezca lo contrario, cada término en mayúscula de este DPA tendrá el significado establecido en el DPA.
Los siguientes términos en mayúscula utilizados en el DPA tendrán el significado siguiente:
a. “Leyes de Protección de Datos Aplicables” significa, con respecto a una Parte, todas las leyes, estatutos, ordenanzas, normas y reglamentos extranjeros, federales, estatales y locales de cualquier jurisdicción aplicable que se apliquen a esa Parte en el cumplimiento de sus obligaciones o el ejercicio de sus obligaciones o derechos en virtud del DPA.
b. “Responsable de los Datos” significa la persona física o moral que sola o conjuntamente con otras, determina los propósitos y medios del Tratamiento de Datos Personales.
c. “Sujeto propietario de Datos Personales” significa la persona identificada e identificable a la que pertenecen los Datos Personales.
d. “Ley” significa la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
e. “Datos Personales” significa, cualquier información relacionada con una persona física identificada e identificable, e incluye cualquier información regida por las Leyes de Protección de Datos Aplicables.
f. “Incidente con los Datos Personales” significa, la sospecha de quebrantamiento o quebrantamiento ilegal o accidental de la seguridad de la información que conlleve a la destrucción, pérdida, alteración, divulgación o acceso no autorizado a Datos Personales transmitidos, almacenados o procesados.
g. “Tratamiento” significa, cualquier operación o conjunto de operaciones que se relacionan con el tratamiento de Datos Personales, ya sea por medios automáticos u otros, por ejemplo, la recopilación, registro, organización, estructuración, almacenamiento, ajuste o cambio, recuperación, consulta, uso, divulgación por transmisión, u otra forma de provisión, alineación o combinación, restricción, exclusión o destrucción.
h. “Encargado de los Datos Personales” significa, la persona física o moral, autoridad, agencia u otro organismo que procesa Datos Personales en nombre del Responsable.
i. “Transmisión de Datos Personales” significa, la transmisión de Datos Personales entre el Responsable y el Encargado.