Anexo de Procesamiento de Datos

El sitio web de G2 utiliza la API de traducción de Crowdin. G2 ha hecho esfuerzos razonables para proporcionar traducciones precisas; sin embargo, ninguna traducción automatizada o computarizada es perfecta y no pretende ni se espera que reemplace los métodos de traducción humanos o tradicionales. El texto oficial es la versión en inglés del sitio web de G2. Esta traducción no inglesa se proporciona únicamente para su comodidad y no debe utilizarse con fines legales. Cualquier discrepancia o diferencia creada en la traducción no es vinculante y no tiene ningún efecto legal para fines de cumplimiento o aplicación. Si surge alguna pregunta sobre la exactitud de la información presentada en la versión traducida del sitio web, consulte la versión en inglés del sitio web, que es la versión oficial.

Este Anexo de Procesamiento de Datos (“DPA”) es entre G2.com, Inc. (“G2”) y la entidad identificada en la Orden de Servicio (“Cliente”) y está incorporado al Acuerdo de Servicio Principal (“Acuerdo”), o a un acuerdo similar respecto a los Servicios, entre las partes. Los términos en mayúsculas que no se definen en este documento tienen los significados asignados en el Acuerdo.

Este DPA se aplica únicamente cuando el Cliente (Responsable del tratamiento) transfiere Datos personales a G2 (Procesador) para los siguientes fines:

Objetivo	Sujeto de Datos	Datos Personales Transferidos del Cliente a G2
Campaña de Reseñas	Clientes del Cliente	Nombre + Correo Electrónico
Invitación a my.G2	Empleados del cliente	Nombre + Apellido + Correo electrónico

1. Alcance.

Este DPA establece cómo G2 Procesará Datos Personales (o un término similar según lo definido por las Leyes de Privacidad aplicables) proporcionados por el Cliente bajo el Acuerdo. Las partes acuerdan cumplir con las leyes de protección de datos aplicables (“Leyes de Privacidad”). Los detalles del Procesamiento están en el Anexo A. “Procesar” (y sus derivados) se define de acuerdo con las Leyes de Privacidad aplicables.

2. Obligaciones del Cliente.

El Cliente es el único responsable de (a) proporcionar aviso o obtener consentimiento de una persona a quien los Datos Personales se relacionan (“Sujeto de Datos”) como lo requieran las Leyes de Privacidad; (b) proporcionar solo los Datos Personales mínimos necesarios para que G2 cumpla con sus obligaciones; (c) garantizar la precisión y completitud de los Datos Personales y realizar actualizaciones, incluyendo la gestión de solicitudes de eliminación de Datos Personales; (d) cualquier Procesamiento no autorizado fuera del control de G2 o un Subprocesador; (e) asegurar que los Datos Personales no contengan Categorías Especiales o Datos Personales Sensibles (como lo definen las Leyes de Privacidad); (f) gestionar las comunicaciones de controladores de terceros; y (g) revisar la información de seguridad de datos de G2 para cumplir con las obligaciones legales. El Cliente no debe pedir a G2 que Procese en violación de las Leyes de Privacidad. Si G2 considera que una instrucción viola las Leyes de Privacidad, G2 puede negarse a Procesar sin ninguna penalización. Para cualquier requisito legal no cubierto por este DPA, el Cliente debe notificar a G2 en legal@g2.com. G2 no es responsable de iniciar este proceso y puede negarse, sin incurrir en ninguna penalización, a Procesar Datos Personales si los requisitos exceden este DPA.

3. Uso de Datos Personales.

El Cliente instruye a G2 a Procesar Datos Personales (a) para cumplir con sus obligaciones bajo el Acuerdo y de acuerdo con el Anexo A, (b) según lo requiera la ley y en cumplimiento con las Leyes de Privacidad, o (c) para cualquier otro propósito permitido por el Cliente por escrito. G2 no “compartirá” ni “venderá” Datos Personales (como se define por el CCPA).

4. Privacidad y Seguridad.

G2 implementará medidas de seguridad razonables para proteger los Datos Personales, como se describe en el Anexo B. Las certificaciones y auditorías de terceros están disponibles a solicitud por escrito del Cliente a security@g2.com (“Salvaguardias”). G2 puede actualizar las Salvaguardias sin previo aviso o aprobación del Cliente, pero no reducirá materialmente los estándares actuales.

5. Subprocesadores.

El Cliente autoriza a G2 a contratar terceros o subcontratistas para Procesar Datos Personales en su nombre (“Subprocesadores”). G2 garantizará que los Subprocesadores acepten obligaciones similares de protección de datos como se describe en este DPA. Excepto como se indica en el Acuerdo o este DPA, la responsabilidad de G2 por los Subprocesadores se limita en la medida en que si G2 estuviera prestando los servicios directamente, y no excederá la cantidad efectivamente recuperada por G2 de ese Subprocesador. El Cliente proporciona a G2 una autorización general para contratar Subprocesadores.

G2 mantiene una lista de sus Subprocesadores en https://legal.g2.com/subprocessors, donde el Cliente está obligado a suscribirse a notificaciones de nuevos Subprocesadores (“Notificación de Subprocesador”). . Si el Cliente se opone a un nuevo Subprocesador, el Cliente debe notificar a G2 por escrito en privacy@G2.com dentro de 10 días hábiles después de que G2 envíe una Notificación de Subprocesador. Si se realiza una objeción a tiempo, G2 hará esfuerzos razonables para evitar usar el Subprocesador impugnado, pero si no se encuentra solución dentro de 30 días hábiles, el Cliente puede rescindir el Acuerdo y el DPA de acuerdo con las disposiciones de rescisión del Acuerdo.

6. Cooperación y Auditorías.

G2 brindará asistencia razonable para ayudar al Cliente a cumplir con las Leyes de Privacidad con respecto a (a) este DPA; (b) las evaluaciones de impacto en la privacidad o (c) sujeto a los términos de esta Sección 6, las auditorías de G2 según lo requerido por las Leyes de Privacidad (colectivamente, "Obligaciones de Auditoría de G2"); el Cliente puede auditar a G2 una vez en cualquier período de 12 meses móviles, a menos que las Leyes de Privacidad requieran lo contrario.

En cuanto a las Obligaciones de Auditoría de G2, sujeto a las obligaciones de confidencialidad establecidas en el Acuerdo y previa solicitud escrita del Cliente, G2 proporcionará al Cliente o, si lo requieren las Leyes de Privacidad, a la autoridad reguladora competente del Cliente, (a) un resumen de auditorías o certificaciones recientes de terceros, (b) informes similares de Subprocesadores a G2, o (c) otra información requerida por las Leyes de Privacidad.

Si las Leyes de Privacidad requieren una auditoría in situ (“Auditorías In Situ”), el Cliente y G2 acordarán el alcance, horario y duración al menos 30 días antes de cualquier auditoría.

Las Auditorías In Situ se limitarán únicamente a las instalaciones de G2, el Cliente cubrirá todos los costos, los participantes deben cumplir con los requisitos de confidencialidad y otros requisitos, determinados exclusivamente por G2, y deben realizarse durante el horario laboral normal de G2. A menos que lo exijan las Leyes de Privacidad, el Cliente debe enviar su solicitud de Auditoría In Situ a G2 a privacy@g2.com con al menos 30 días de aviso por escrito. G2 no está obligada a violar las Leyes de Privacidad u otras obligaciones legales o contractuales que tenga con sus clientes o usuarios. El Cliente debe informar a G2 de cualquier problema de cumplimiento encontrado durante la Auditoría In Situ dentro de los 10 días hábiles. G2 puede adaptar el alcance de una Auditoría In Situ para evitar riesgos con respecto a sus obligaciones legales y contractuales hacia otros clientes y usuarios de G2.

Las auditorías bajo las Cláusulas Contractuales Estándar de la UE y el Reino Unido (“SCCs”) seguirán esta Sección 6.

7. Transferencias de Datos Transfronterizos.

G2 Procesa Datos Personales en los Estados Unidos. Las transferencias de Datos Personales de la UE o del Reino Unido a una jurisdicción que no esté reconocida por la UE o el Reino Unido como teniendo una protección de datos adecuada, o donde las transferencias de datos contempladas por este DPA no estén restringidas de otra manera por las Leyes de Privacidad, las SCCs de la UE y el Acuerdo Internacional de Transferencia de Datos del Reino Unido (“Acuerdo del Reino Unido”) se aplican, tal como se incorpora en el Apéndice C. Al firmar la Orden de Servicio, ambas partes aceptan las SCCs de la UE y el Acuerdo del Reino Unido.

Para las transferencias de Datos Personales de la UE (“Datos Personales de la UE”) a los EE.UU., G2 participa en el EU-U.S. Programa de Marco de Privacidad de Datos (“DPF”) y acepta cumplir con el DPF en la medida en que el Cliente también participe en el DPF.

8. Violación de Datos Personales.

Si G2 es negligente y compromete materialmente o causa destrucción, pérdida, alteración, divulgación no autorizada de, o acceso accidental o ilegal a los Datos Personales del Cliente u otro evento que afecte los Datos Personales del Cliente que desencadene una obligación para G2 de notificar al Cliente bajo las Leyes de Privacidad relacionadas con la notificación de violación de seguridad (colectivamente, una "Violación de Datos Personales"), G2 notificará al Cliente sin demora de la confirmación de G2 de tal Violación de Datos Personales al Correo de Seguridad establecido en la Orden de Servicio. G2 compartirá la siguiente información a medida que esté disponible para G2: (a) una breve descripción de la Violación de Datos Personales, incluida su fecha, (b) detalles de los Datos Personales afectados, (c) acciones que G2 está tomando para investigar y mitigar, (d) información de contacto para consultas adicionales, y (e) cualquier otra información requerida bajo las Leyes de Privacidad.

Si las Leyes de Privacidad requieren notificar a terceros, G2 reembolsará al Cliente los costos razonables relacionados directamente con la notificación y cualquier monitoreo de crédito requerido (“Costos de Notificación”), excluyendo los honorarios legales o costos relacionados incurridos por el Cliente.

G2 cooperará con la investigación razonable del Cliente, según lo requieran las Leyes de Privacidad. Si las Leyes de Privacidad requieren notificar a terceros, G2 reembolsará al Cliente por los costos razonables directamente incurridos por el Cliente para esta notificación legalmente requerida y cualquier monitoreo de crédito legalmente requerido (“Costos de Notificación”). Los Costos de Notificación no incluirán ninguna tarifa legal ni costos relacionados incurridos por el Cliente.

9. Gestión de Información.

Después de completar los Servicios, G2 devolverá o eliminará todas las copias de Datos Personales, a menos que la retención sea requerida por ley o sea inviable de otra manera, en cuyo caso G2 retendrá los Datos Personales solo como sea necesario y puede procesarlos únicamente con el propósito de prevenir el retorno o eliminación.

10. Indemnización.

Sujeto a la Sección 12 del Acuerdo, el Cliente acepta reembolsar, indemnizar y mantener indemne a G2 por todos los costos incurridos al responder o mitigar cualquier pérdida sufrida por G2, incluido, pero no limitado a, cualquier pérdida relacionada con una reclamación de terceros presentada contra G2 con respecto al Procesamiento de Datos Personales cuando dicho Procesamiento sea consistente con las instrucciones de Procesamiento del Cliente, el Acuerdo y/o este DPA.

11. Limitación de Responsabilidad.

Excepto como se indica expresamente en este DPA, la única responsabilidad de G2 y el único recurso del Cliente por incumplimiento de este DPA por parte de G2 no excederá las tarifas pagadas por el Cliente a G2 bajo la Orden de Servicio que dé lugar a la reclamación en los 12 meses anteriores a la reclamación. En ninguna circunstancia, G2 será responsable de cualquier daño especial, indirecto, incidental, consecuente o punitivo, incluidos los beneficios perdidos incurridos por el Cliente.

12. Interpretación y Actualizaciones.

G2 actualizará este DPA periódicamente, sin previo aviso al Cliente, en cumplimiento material con las Leyes de Privacidad y sin disminuir materialmente las protecciones establecidas aquí. El siguiente orden de precedencia se aplica en caso de conflicto con respecto al Procesamiento de Datos Personales: (a) el Acuerdo Internacional de Transferencia de Datos, (b) este DPA, (c) el Acuerdo, y (d) las Leyes de Privacidad.

13. Duración.

Este DPA comienza en la Fecha de Vigencia y permanece en vigor hasta que el Acuerdo termine o hasta que G2 deje de Procesar Datos Personales en nombre del Cliente.

APÉNDICE A

Descripción del Procesamiento

Partes	Exportador & Controlador: Cliente La información del Cliente se establece en la Orden de Servicio.
Partes	Importador & Procesador: G2.com, Inc. 100 South Wacker Drive, Suite 600, Chicago, IL 60606
Categorías de Sujetos de Datos Cuyos Datos Personales se Transfieren & Categorías de Datos Personales Transferidos	Campaña de Reseñas (si aplica) Sujeto de Datos: Clientes del Cliente Datos Personales: Nombre y correo electrónico
Datos Sensibles Transferidos	El Cliente no transferirá Datos Sensibles a G2.
Frecuencia de la Transferencia	Continua.
Naturaleza del Procesamiento	Para proporcionar los Servicios.
Propósito del Procesamiento, Transferencia de Datos y Procesamiento Adicional	Para proporcionar los Servicios.
Duración del Procesamiento	Como se establece en la Sección 13.
Transferencias de Subprocesadores	Como se establece en la Sección 5.

APÉNDICE B

Medidas Técnicas y Organizativas

G2 ha implementado las siguientes medidas técnicas y organizativas para la protección de la seguridad, confidencialidad e integridad de los Datos Personales:

Control de Acceso: Prevención del Acceso No Autorizado al Producto	Procesamiento externalizado: G2 aloja sus Servicios con proveedores de infraestructura en la nube externalizados. G2 mantiene relaciones contractuales con proveedores para proporcionar los Servicios de acuerdo con su DPA. G2 se basa en acuerdos contractuales, políticas de privacidad y programas de cumplimiento de proveedores para proteger los datos procesados o almacenados por estos proveedores.
	Seguridad física y ambiental: G2 aloja su infraestructura de producto con proveedores de infraestructura externalizada multiinquilino. Los controles de seguridad física y ambiental son auditados para el cumplimiento de SOC 2 Tipo I e ISO 27001, 27017, 17018, entre otras certificaciones.
	Autenticación: G2 implementó una política de contraseñas uniforme para los productos de sus Clientes. Los clientes que interactúan con los productos a través de la interfaz de usuario deben autenticarse antes de acceder a los datos del Cliente que no son públicos.
	Autorización: Los datos del Cliente se almacenan en sistemas de almacenamiento multiinquilino accesibles a los Clientes solo a través de interfaces de usuario de aplicaciones e interfaces de programación de aplicaciones. Los clientes no están autorizados a acceder directamente a la infraestructura de aplicación subyacente. El modelo de autorización en cada uno de los productos de G2 está diseñado para garantizar que solo las personas debidamente asignadas puedan acceder a las funciones, vistas y opciones de personalización relevantes. La autorización a conjuntos de datos se realiza validando los permisos del usuario contra los atributos asociados con cada conjunto de datos.
	Acceso a la Interfaz de Programación de Aplicaciones (API): Las APIs de productos públicos pueden ser accesibles usando una API.
Control de Acceso: Prevención del Uso No Autorizado del Producto	G2 implementa controles de acceso estándar de la industria y capacidades de detección para las redes internas que apoyan sus productos.
	Controles de acceso: Los mecanismos de control de acceso a la red están diseñados para evitar que el tráfico de red que usa protocolos no autorizados llegue a la infraestructura del producto. Las medidas técnicas implementadas difieren entre proveedores de infraestructura e incluyen implementaciones de Nube Privada Virtual (VPC), asignación de grupos de seguridad y reglas de cortafuegos tradicionales.
	Detección y prevención de intrusiones: G2 implementó una solución de Firewall de Aplicaciones Web (WAF) para proteger los sitios web alojados del Cliente y otras aplicaciones accesibles por internet. El WAF está diseñado para identificar y prevenir ataques contra servicios de red disponibles públicamente.
	Análisis de código estático: Se realizan revisiones de seguridad del código almacenado en los repositorios de código fuente de G2. Verificación de las mejores prácticas de codificación y fallos de software identificables.
	Pruebas de penetración: G2 mantiene relaciones con proveedores de servicios de pruebas de penetración reconocidos en la industria para pruebas de penetración anuales. El propósito de las pruebas de penetración es identificar y resolver vectores de ataque previsibles y escenarios potenciales de abuso.
Control de Acceso: Limitaciones de Privilegios & Requisitos de Autorización	Acceso al producto: Un subconjunto de los empleados de G2 tiene acceso a los productos y a los datos del Cliente a través de interfaces controladas. El propósito de proporcionar acceso a un subconjunto de empleados es ofrecer soporte efectivo al Cliente, resolver problemas potenciales, detectar y responder a incidentes de seguridad e implementar la seguridad de los datos. Todas esas solicitudes son registradas. A los empleados se les concede acceso según su rol, y se inician revisiones de concesiones de privilegios de alto riesgo de manera regular. Los roles de los empleados se revisan al menos una vez cada 6 meses.
	Verificaciones de antecedentes: Todos los empleados de G2 se someten a una verificación de antecedentes por terceros antes de recibir una oferta de empleo, de acuerdo con las leyes aplicables y en la medida en que estas lo permitan. Todos los empleados están obligados a comportarse de manera coherente con las guías de la empresa, los requisitos de confidencialidad y los estándares éticos.
Control de Transmisión	En tránsito: G2 exige el cifrado HTTPS (también conocido como SSL o TLS) en cada una de sus interfaces de inicio de sesión. La implementación de HTTPS de G2 utiliza algoritmos y certificados estándar de la industria.
Control de Transmisión	En reposo: G2 almacena contraseñas de usuarios siguiendo políticas que se adhieren a prácticas estándar de seguridad de la industria. G2 ha implementado tecnologías para asegurar que los datos almacenados estén cifrados en reposo.
Control de Entrada	Detección: G2 diseñó su infraestructura para registrar información extensa sobre el comportamiento del sistema, el tráfico recibido, la autenticación del sistema y otras solicitudes de aplicaciones. Los sistemas internos agregan datos de registros y alertan a los empleados apropiados sobre actividades maliciosas, no intencionadas o anómalas. El personal de G2, incluidos los de seguridad, operaciones y soporte, responde a los incidentes conocidos.
	Respuesta y seguimiento: G2 mantiene un registro de los incidentes de seguridad conocidos que incluye descripción, fechas y horas de actividades relevantes, y disposición del incidente. Los incidentes de seguridad sospechosos y confirmados son investigados por personal de seguridad, operaciones o soporte; y se identifican y documentan los pasos de resolución apropiados. Para cualquier incidente confirmado, G2 tomará las medidas apropiadas para minimizar el daño al producto y al Cliente o la divulgación no autorizada.
	Comunicación: Si G2 se entera de un acceso ilegal a datos no-G2 almacenados dentro de sus Servicios, G2: 1) notificará a los Clientes afectados del incidente; 2) proporcionará una descripción de los pasos que G2 está tomando para resolver el incidente; y 3) proporcionará actualizaciones de estado al contacto del Cliente, según lo considere necesario. Las notificaciones de incidentes, si las hay, se entregarán a uno o más de los contactos del Cliente en un formato que G2 seleccione, que puede incluir correo electrónico o teléfono.
Control de Disponibilidad	Disponibilidad de la infraestructura: Los proveedores mantienen un mínimo de redundancia N+1 para servicios de energía, red y HVAC.
	Tolerancia a fallos: Las estrategias de respaldo y replicación están diseñadas para garantizar redundancia y protecciones de respaldo durante una falla de procesamiento significativa. Los datos del Cliente se respaldan en varios almacenes de datos duraderos.
	Réplicas en línea y respaldos: Donde sea posible, las bases de datos de producción están diseñadas para replicar datos entre al menos 1 base de datos primaria y 1 base de datos secundaria. Todas las bases de datos son respaldadas y mantenidas utilizando al menos métodos estándar de la industria.
	Los productos de G2 están diseñados para garantizar redundancia y failover continuo. Las instancias del servidor que soportan los productos también están arquitectadas con el objetivo de prevenir puntos únicos de falla. Este diseño ayuda a las operaciones de G2 a mantener y actualizar las aplicaciones de producto y el backend mientras se limita el tiempo de inactividad.

APÉNDICE C

UE & UK RGPD

Sección 1 - UE:Para transferencias de datos de la UE, las CEC de la UE se incorporan a este DPA de la siguiente manera:

Término CEC UE	Enmienda/Opción Seleccionada
Módulo	Módulo 2 (Controlador a Procesador).
Cláusula 7 (Cláusula de Conexión)	La opción no está incluida.
Cláusula 9 (Uso de Sub-Procesadores)	La Opción 2 se aplicará.

Como se establece en el Apéndice.

Cláusula 11 (Recurso)

La opción no está incluida.

Cláusula 13 (Supervisión)

Las opciones están incluidas, según corresponda.

Cláusula 17 (Ley Aplicable)

Irlanda.

Cláusula 18 (Elección de Foro y Jurisdicción)

Irlanda.

Anexo I.A (Lista de Partes)

Como se establece en el Apéndice A.

Anexo I.B (Descripción de la Transferencia)

Como se establece en el Apéndice A.

Anexo I.C (Autoridad de Supervisión Competente)

Como se establece en el Apéndice A.

Anexo II (Medidas Técnicas y Organizacionales)

Como se establece en el Apéndice B.

Sección 2 - Reino Unido: Para transferencias de datos del Reino Unido, el Adéndum del Reino Unido está incorporado a este DPA de la siguiente manera:

Término del Adéndum del Reino Unido	Enmienda/Opción Seleccionada
Tabla 1: Fecha de Inicio	Como se establece en la Sección 13.
Tabla 1: Partes	Como se establece en el Apéndice A.
Tabla 2: Adéndum CEC UE	Como se establece en la Sección 1 de este Apéndice C.
Tabla 3: Información del Apéndice	Como se establece en la Sección 1 de este Apéndice C.
Tabla 4: Terminación de este Adéndum	Importador.
Cláusulas Obligatorias	Las Cláusulas Obligatorias están incorporadas a este Apéndice C. Las ‘Cláusulas Obligatorias Alternativas de la Parte 2’ no están seleccionadas.