Transferencias de datos internacionales

Objetivo

Smartsheet Inc. (en adelante, junto con sus filiales, “Smartsheet”) se compromete a abordar las inquietudes y los requisitos de privacidad y seguridad de sus clientes en relación con sus datos personales. En esta página, se describe la posición de Smartsheet con respecto a las transferencias internacionales de datos personales y se ofrecen garantías en relación con las prácticas de gestión de datos de Smartsheet junto con sus aplicaciones y servicios en línea, como software descargables (“Productos y servicios”); sitios web, incluido www.smartsheet.com (“Sitios”); y operaciones comerciales generales.

En esta página, no se brinda asesoramiento jurídico. Smartsheet le recomienda consultar con un asesor jurídico para familiarizarse con las leyes y normas que rigen su situación específica. 

Funciones de Smartsheet en materia de datos

Como sucede con muchas aplicaciones de software como un servicio, Smartsheet cumple dos funciones con respecto a los datos personales: controlador de datos y procesador de datos.

Como controlador de datos, Smartsheet recopila datos técnicos, estadísticos, aprendidos y otros tipos de datos de uso junto con información de pago, de facturación, de perfil o demás información de la cuenta en relación con la compra y el uso de los Productos y servicios y los Sitios. El Aviso de privacidad de Smartsheet es el aviso que envía a las personas sobre las maneras específicas en que Smartsheet recopila y, luego, utiliza, comparte y procesa estos datos personales para fines comerciales legítimos.

Para los datos, las imágenes, los archivos u otro tipo de contenido que carga o envía a los Productos y servicios de Smartsheet (“Contenido del cliente”), Smartsheet actúa como procesador de datos. Los clientes que requieren condiciones explícitas para el procesamiento de los datos personales contemplados en el Contenido del cliente pueden optar por ejecutar un Anexo de procesamiento de datos (“DPA”) con Smartsheet. El DPA, junto con la ley vigente y el acuerdo que rige el uso de los Productos y servicios por parte de un cliente, limita la manera en que Smartsheet puede procesar el Contenido del cliente y es la representación por escrito de las instrucciones de procesamiento de un Cliente para Smartsheet.
 

Actividades de procesamiento principales

Si bien Smartsheet estableció ubicaciones y planes para continuar con la expansión internacional, la empresa mantiene sus operaciones principalmente en los Estados Unidos, donde se encuentran sus oficinas centrales. Por consiguiente, como controlador de datos, Smartsheet puede transferir la información de cuentas y los datos de uso recopilados a sistemas y personal de los Estados Unidos para sus operaciones comerciales generales. Además, como procesador de datos, Smartsheet puede acceder al Contenido del cliente alojado en cualquiera de las Regiones de Smartsheet de los Estados Unidos para respaldar y mantener sus Productos y servicios. 

Las principales actividades de procesamiento llevadas a cabo por Smartsheet en los Estados Unidos son las siguientes:

  • como controlador de datos, para operaciones comerciales generales y otros fines comerciales legítimos como se explica aquí para los datos recopilados cuando interactúa con Smartsheet o los Sitios y aquí para los datos recopilados sobre el uso de los Productos y servicios; y
  • como procesador de datos, para brindar el servicio, el soporte técnico, los servicios profesionales y la ingeniería, y solo en la medida permitida en el acuerdo con Smartsheet que rige sus Productos y servicios. 
Illustration of a lock on top of a world map

¿Qué es una Transferencia internacional de datos personales? 

Se realiza una transferencia internacional de datos personales (“Transferencia internacional”) cuando se divulgan dichos datos fuera del Espacio Económico Europeo (“EEE”). La Transferencia internacional puede incluir el almacenamiento de datos personales en un país fuera del EEE, pero también el acceso a los datos personales almacenados en la UE por parte de subprocesadores ubicados fuera del EEE (p. ej., para brindar servicios de soporte). 

¿Cuáles son las Cláusulas contractuales tipo de la Comisión Europea?

Las cláusulas contractuales tipo (“SCC”) de la Comisión Europea son contratos legales celebrados entre dos partes que transfieren datos personales de la UE fuera de la UE a países que carecen de políticas de protección de datos adecuadas o equivalentes. En 2010, la Comisión Europea redactó y aprobó las cláusulas contractuales tipo iniciales para transferencias de controlador a procesador. Tras la sentencia de Schrems II, la Comisión Europea redactó nuevas cláusulas contractuales tipo para incorporar los requisitos del RGPD y la sentencia de Schrems II.  Las nuevas SCC se sometieron a consultas hasta el 10 de diciembre de 2020 y su versión final se publicó el 7 de junio de 2021.  La Comisión Europea les concede a las empresas un período transitorio de 18 meses para implementar las nuevas SCC en sus contratos existentes.  El DPA actualizado de Smartsheet incorpora las nuevas SCC que se adoptaron recientemente.

Alentamos a los clientes con acuerdos anteriores que no incluyan una referencia a las SCC o que incluyan la versión anterior de las SCC a revisar el DPA actualizado. Si determinó que necesita un DPA actualizado con Smartsheet, puede enviar un formulario en el que acepta las condiciones del DPA aquí.  Al enviar el formulario, se reenviará una copia del DPA a través de DocuSign al firmante autorizado que se indica en el formulario. Tras la firma, también se enviará una copia a la persona que presentó el formulario para sus registros.

Map with multiple locations highlighted

¿Qué mecanismo utiliza Smartsheet para transferir datos personales?

Como controlador. Como se indica en el Aviso de privacidad, Smartsheet es el controlador de los datos personales recopilados por Smartsheet.  De conformidad con el RGPD y nuestra obligación como controlador de datos, implementamos acuerdos contractuales entre empresas que incluyen las Cláusulas contractuales tipo (“SCC”) para la transferencia legal de datos entre organizaciones.

Como procesador. Tras la sentencia de Schrems II, Smartsheet actualizó su DPA para incorporar las SCC como el mecanismo de transferencia legal. Como se mencionó, Smartsheet actualizó recientemente su DPA para incorporar la versión más reciente de las SCC. Si determinó que necesita un DPA con Smartsheet, puede enviar un formulario en el que acepta las condiciones del DPA aquí.  Al enviar el formulario, se reenviará una copia del DPA a través de DocuSign al firmante autorizado que se indica en el formulario. Tras la firma, también se enviará una copia a la persona que presentó el formulario para sus registros. 

¿Dónde se alojan los Productos y servicios? 

Los clientes pueden seleccionar la ubicación donde se aloja su Contenido del cliente. Consulte el Trust Center o la página de Diferencias regionales para obtener más información. Smartsheet sigue analizando opciones para incorporar ubicaciones de alojamiento de datos adicionales. Envíe una Solicitud de mejora de producto de Smartsheet si le gustaría que ofrezcamos una región o un país particular en el futuro. 

Compartir datos personales según lo requiere la ley

Como se indicó en el Aviso de privacidad de Smartsheet, Smartsheet puede compartir datos personales, según lo requiere la ley, de conformidad con un proceso legal válido, como una citación o un procedimiento concursal.

Cuando reciba una solicitud para acceder a datos personales o conservarlos, incluida una solicitud de la seguridad nacional u otro cuerpo policial, Smartsheet la objetará, en la medida que la ley lo permita, y notificará al cliente a quien hacen referencia los datos. Sin embargo, en ciertas instancias, Smartsheet puede tener la obligación legal de compartir datos personales de conformidad con un ordenamiento jurídico válido y sin notificar a los clientes de dichas solicitudes. En todo caso, lo haremos de conformidad con nuestras obligaciones de confidencialidad detalladas en el acuerdo que rige el uso de los Productos y servicios por parte de un cliente (es decir, las “Divulgaciones requeridas” del Acuerdo de usuario). 

 

Compartir datos personales a proveedores externos de infraestructura y servicios 

Como se indica en el Aviso de privacidad de Smartsheet, Smartsheet puede compartir datos personales con nuestros proveedores de infraestructura y servicios. Smartsheet solo contrata proveedores externos que hayan demostrado el mismo compromiso con la protección de los datos personales de nuestros clientes y que cumplan o superen nuestras Expectativas de manejo de datos y privacidad de los proveedores. Además, para los proveedores que califican como “subprocesadores” de conformidad con el RGPD, Smartsheet se aseguró de que haya garantías y obligaciones contractuales adecuadas para proteger los datos personales y cumplir sus obligaciones ante la ley. La lista de subprocesadores actuales de Smartsheet está disponible aquí.

En todas las instancias, si Smartsheet comparte datos personales con un proveedor externo, lo hace mediante un contrato válido que incluye obligaciones de protección de datos adecuadas y, si transfiere datos fuera del EEE, incluye las SCC. 

 

Acceso de organismos gubernamentales, solo cuando lo exige la ley

En algunas ocasiones, Smartsheet recibirá una solicitud de un organismo gubernamental o una autoridad policial pidiendo acceso a contenido que pertenece a un cliente. Cuando recibimos una solicitud de esta índole, nuestro objetivo es proteger a nuestros clientes y, al mismo tiempo, cumplir las leyes vigentes. Notificaremos al cliente afectado, a menos que la ley lo prohíba explícitamente. Siempre que sea posible, derivamos al organismo gubernamental solicitante para que trabaje con el cliente afectado directamente. Smartsheet no controla el Contenido del cliente y tenemos la firme convicción de que cualquier organismo gubernamental que pida acceso a dicho contenido debe dirigir la solicitud directamente al cliente siempre que sea posible.

No proporcionamos acceso directo a Contenido del cliente ni divulgamos este contenido a organismos gubernamentales, a menos que lo exija la ley. Además, rechazamos las solicitudes ilegítimas. Revisamos las solicitudes gubernamentales caso por caso y solo cumplimos si determinamos que la solicitud es legítima. Al analizar la legitimidad de una solicitud gubernamental, contemplamos las leyes vigentes, incluidas las leyes de otras jurisdicciones, cuando corresponde. Instamos a los organismos gubernamentales a respetar el proceso legal requerido por las leyes vigentes, como la emisión de su solicitud a través de una citación, orden judicial u orden de allanamiento. Si consideramos que una solicitud gubernamental de Contenido del cliente no es válida o legítima, intentamos objetarla.

Con respecto a los organismos gubernamentales estadounidenses y de conformidad con las SCC, Smartsheet (como importador de datos) debe notificar de inmediato al exportador de datos sobre toda solicitud jurídicamente vinculante para divulgar datos personales por parte de una autoridad policial, a menos que esté prohibido. En el pasado, Smartsheet no recibió una orden de FISA o una solicitud similar para datos procesados por Smartsheet que infringirían sus obligaciones de acuerdo con las SCC. 

Filiales de Smartsheet

Para facilitar las operaciones globales de Smartsheet, Smartsheet Inc. puede transferir datos personales a nivel global permitir el acceso a dichos datos a las filiales ubicadas en jurisdicciones internacionales. Cuando comparte datos personales con filiales de Smartsheet, Smartsheet Inc. ejecuta las SCC a fin de proteger los datos personales y garantizar la implementación de obligaciones de protección de datos adecuadas entre las filiales de Smartsheet. Puede obtener más información acerca de las filiales de Smartsheet aquí.

Información y recursos adicionales

Comience hoy mismo.

Comuníquese con su representante para obtener más información.

Contáctenos