Versión: 1 Fecha: [12 de marzo de 2026] El presente Anexo de procesamiento de datos, incluidos los anexos al mismo ("APD"), se incorpora al Contrato marco de servicios y a los Pedidos individuales (conjuntamente, el "Contrato") que existen entre usted ("Cliente" o "Responsable del tratamiento") y Doodle AG con domicilio social en Werdstrasse 21, 8004 Zúrich, Suiza (junto con cualesquiera filiales y entidades afiliadas, colectivamente "Doodle" o "Procesador") y establece los términos adicionales que se aplican en la medida en que cualquier información que usted proporcione a Doodle de conformidad con el Acuerdo incluya Datos Personales (tal y como se definen a continuación).

A. "CCPA" significa la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act of 2018, Cal. Civ. Code § [1798.100 - 1798.199.100]) y sus reglamentos de aplicación, cada uno de los cuales puede ser modificado de vez en cuando, incluyendo sin limitación por la Ley de Derechos de Privacidad de California de 2020.

B. "Marco( s) de Privacidad de Datos" significa, según corresponda, el Marco de Privacidad de Datos UE-EE.UU., la Extensión del Reino Unido al Marco de Privacidad de Datos UE-EE.UU. y el Marco de Privacidad de Datos Suiza-EE.UU. desarrollados por el Departamento de Comercio de EE.UU. y la Comisión Europea, el Gobierno del Reino Unido y la Administración Federal Suiza que permiten a las organizaciones con sede en EE.UU. que participan en dichos Marcos de Privacidad de Datos recibir Datos Personales de la Unión Europea / Espacio Económico Europeo, el Reino Unido y Gibraltar, y Suiza en cumplimiento de las Leyes de Protección de Datos aplicables en dichas regiones.

C. "Leyes de protección de datos " se refiere a todas las leyes federales, estatales y extranjeras aplicables de protección de datos, privacidad y seguridad de datos, así como a los reglamentos y directivas formales aplicables que, por su naturaleza, pretenden tener fuerza de ley, todas ellas modificadas de vez en cuando, y cuando se refieran al tratamiento de Datos personales por parte del procesador, en la medida directamente aplicable a dicho tratamiento, incluidas, entre otras, las Leyes de protección de datos de la UE, las Leyes de protección de datos del Reino Unido, las Leyes de protección de datos de Suiza, la Ley de privacidad de 1988, la Ley de protección de datos personales y documentos electrónicos y la CCPA.

D. "Sujeto de los Datos" significa el individuo o consumidor al que se refieren los Datos Personales.

E. "Solicitud del Sujeto de los Datos " se refiere a una solicitud de un Sujeto de los Datos para ejercer los derechos otorgados por las Leyes de Protección de Datos con respecto a los Datos Personales del Sujeto de los Datos.

F. "Leyes de protección de datos de la UE" se refiere al GDPR junto con cualquier legislación o normativa de aplicación, así como las leyes de la Unión Europea o de los Estados miembros, con sus modificaciones periódicas.

G. "GDPR " significa el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos).

H. "Parte" se refiere al Cliente o a Doodle.

I. "Partes" significa colectivamente Cliente y Doodle.

J. "Datos Personales"significa cualquier información relativa a una persona física identificada o identificable que sea procesada por Doodle en nombre del Cliente en relación con la prestación de los Servicios al Cliente, cuando dicha información esté protegida como "datos personales" o "información personal" o un término similar en virtud de la(s) Ley(es) de Protección de Datos.

K. "Proceso" o "Tratamiento" significa cualquier operación o conjunto de operaciones que se realicen sobre los Datos Personales, ya sea por medios automatizados o no, tales como la recogida, registro, organización, almacenamiento, adaptación o alteración, recuperación, consulta, utilización, divulgación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, bloqueo, supresión o destrucción.

L. Por"violación de la seguridad" se entenderá una violación confirmada de las medidas de seguridad de la información de Doodle que provoque la destrucción, accidental o ilícita, la pérdida, la alteración, la difusión no autorizada o el acceso a Datos Personales contemplados en la presente APD.

M. "Servicios" significa los servicios prestados por Doodle al Cliente en virtud del Acuerdo.

N. "Cláusulas Contractuales Tipo" o "CEC" significa las cláusulas tipo para la transferencia de Datos Personales a procesadores establecidos en terceros países aprobadas por la Comisión Europea, cuya versión aprobada figura en la Decisión de Ejecución 2021/914 de la Comisión Europea de 4 de junio de 2021 y en: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX%3A32021D0914&locale=e.

O. "Leyes Suizas de Protección de Datos " se refiere a todas las leyes relativas a la protección de datos, el Tratamiento de Datos Personales, la privacidad y/o las comunicaciones electrónicas en vigor de vez en cuando en Suiza, incluyendo la Ley Federal Suiza de Protección de Datos de fecha 25 de septiembre de 2020 y sus ordenanzas.

P. "Leyes de protección de datos del Reino Unido " se refiere a todas las leyes relacionadas con la protección de datos, el Tratamiento de Datos Personales, la privacidad y/o las comunicaciones electrónicas vigentes en cada momento en el Reino Unido ("Reino Unido"), incluyendo el GDPR del Reino Unido y la Ley de Protección de Datos de 2018.

Q. "GDPR del Reino Unido" significa el Reglamento General de Protección de Datos del Reino Unido, ya que forma parte de la legislación del Reino Unido en virtud de la sección 3 de la Ley de la Unión Europea (Retirada) de 2018.

R. Los términos "Encargado del tratamiento" y "Responsable del tratamiento" tendrán el significado que se les atribuye en la Ley de Protección de Datos aplicable. Los términos en mayúsculas que no se definan en el presente APD tendrán el significado que se les atribuye en el Acuerdo y se adoptan por referencia en el presente Apéndice.

A. Obligaciones del Cliente.El Cliente es, entre el Cliente y Doodle, el Controlador de los Datos Personales y deberá (a) determinar el propósito y los medios esenciales del Procesamiento de los Datos Personales de conformidad con el Acuerdo; (b) ser responsable de la exactitud de los Datos Personales; y (c) cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos, incluyendo, cuando sea aplicable, asegurarse de que el Cliente tiene una base legal para recopilar Datos Personales, proporcionar a los Sujetos de Datos cualquier notificación requerida y/u obtener el consentimiento del Sujeto de Datos para procesar los Datos Personales.

B. Obligaciones de Doodle. Doodle es el Procesador de los Datos Personales y deberá (a) Procesar los Datos Personales en nombre del Cliente de acuerdo con las instrucciones escritas del Cliente (a menos que se renuncie a ellas en un requerimiento escrito) proporcionadas durante la vigencia de este APD; y (b) cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos. En el Anexo 1 figura una descripción del tratamiento de Datos Personales que se pretende llevar a cabo en virtud del presente APD. Las Partes acuerdan que el Acuerdo, incluido este APD, junto con el uso de los Servicios por parte del Cliente en cumplimiento del Acuerdo, constituyen la instrucción escrita completa y final del Cliente a Doodle en relación con el Tratamiento de Datos Personales, y las instrucciones adicionales fuera del alcance de estas instrucciones requerirán un acuerdo previo por escrito y mutuamente ejecutado entre el Cliente y Doodle. En el caso de que Doodle crea razonablemente que existe un conflicto con cualquier Ley de Protección de Datos y las instrucciones del Cliente, Doodle informará al Cliente con prontitud y las Partes cooperarán de buena fe para resolver el conflicto y lograr los objetivos de dicha instrucción.

C. Uso de los Datos. Doodle no utilizará los Datos Personales, excepto para el uso de los Datos Personales conforme a las instrucciones del Cliente, según lo permitido por el Acuerdo y según sea necesario para presentar y defender reclamaciones, para cumplir con los requisitos del proceso legal, para cooperar con las autoridades reguladoras y para ejercer otros usos similares permitidos según lo dispuesto expresamente en las Leyes de Protección de Datos.

D. Ubicación del Procesamiento. Las Partes reconocen y acuerdan que el procesamiento de los Datos Personales tendrá lugar en la Unión Europea (UE), en Suiza y quizás en (otras) jurisdicciones fuera de la residencia de los Sujetos de los Datos, y el Cliente deberá cumplir con todos los requisitos de notificación y consentimiento para dicha transferencia y procesamiento en la medida en que lo exijan las Leyes de Protección de Datos. E. Devolución o destrucción de datos.Doodle devolverá o destruirá de forma segura los Datos personales, de acuerdo con las instrucciones del Cliente, a petición del Cliente o tras la finalización de la(s) cuenta(s) del Cliente, a menos que los Datos personales deban conservarse para cumplir con la legislación aplicable.

Esta Sección se aplicará con respecto al Procesamiento de Datos Personales cuando dicho Procesamiento esté sujeto a las Leyes Suizas de Protección de Datos, las Leyes de Protección de Datos de la UE o las Leyes de Protección de Datos del Reino Unido.

A. Transferencias de Datos Personales. El Cliente reconoce y acepta que Doodle tiene su sede en Suiza. A menos que se aplique una excepción establecida en virtud de las Leyes de protección de datos de la UE, las Leyes de protección de datos suizas o las Leyes de protección de datos del Reino Unido (según corresponda), las transferencias de Datos personales sujetos a las Leyes de protección de datos de la UE, las Leyes de protección de datos suizas o las Leyes de protección de datos del Reino Unido (según corresponda) a un destinatario en una jurisdicción no sujeta a una decisión de adecuación en virtud de las Leyes de protección de datos aplicables se regirán por un acuerdo de transferencia de datos en una forma prescrita por las Leyes de protección de datos de la UE, las Leyes de protección de datos suizas o las Leyes de protección de datos del Reino Unido (según corresponda) (por ejemplo.g. Cláusulas Contractuales Tipo o equivalentes), en la medida en que la formalización de dicho documento represente un medio válido para la transferencia de Datos Personales sujetos a las Leyes de Protección de Datos de la UE, las Leyes Suizas de Protección de Datos o las Leyes de Protección de Datos del Reino Unido (según proceda), o se realice conforme a cualquier otro mecanismo de transferencia válido prescrito por las Leyes de Protección de Datos de la UE, las Leyes Suizas de Protección de Datos o las Leyes de Protección de Datos del Reino Unido (según proceda). En la medida en que las Leyes de Protección de Datos de la UE, las Leyes de Protección de Datos de Suiza o las Leyes de Protección de Datos del Reino Unido (según proceda) exijan medidas contractuales, técnicas u organizativas adicionales para llevar a cabo legalmente transferencias de Datos Personales sujetas a las Leyes de Protección de Datos de la UE, las Leyes de Protección de Datos de Suiza o las Leyes de Protección de Datos del Reino Unido (según proceda), cada una de las Partes cooperará de buena fe e implementará y acordará dichas medidas, incluida, entre otras, la celebración de las Cláusulas Contractuales Tipo (si procede), según sea necesario para permitir y mantener la legalidad de dicha transferencia.

A-1. Cláusulas Contractuales Tipo.

a. Doodle (como "exportador de datos") y el Cliente (como "importador de datos") celebran por la presente las Cláusulas Contractuales Tipo, Módulo 4, con respecto a cualquier transferencia de Datos Personales sujetos a las Leyes de Protección de Datos de la UE, las Leyes de Protección de Datos de Suiza o las Leyes de Protección de Datos del Reino Unido (según proceda) de Doodle al Cliente. Las Partes acuerdan tener acceso y conocimiento de las Cláusulas Contractuales Tipo y renuncian por la presente a reproducir las Cláusulas Contractuales Tipo en el presente APD. En caso de conflicto entre este DPA y las Cláusulas Contractuales Estándar prevalecerán las Cláusulas Contractuales Estándar.

b. En relación con las Cláusulas Contractuales Tipo, las Partes acuerdan que el Anexo 1.A. del presente DPA constituye el Anexo I.A. de las Cláusulas Contractuales Tipo y el Anexo 1.B.-I. constituye el Anexo I.B. Las Partes acuerdan además que ( i) se aplica la Cláusula 7; (ii) se aplica la Cláusula 11(a) sin opción; (iii) las Cláusulas Contractuales Tipo se rigen por las leyes de Suiza y son competentes los tribunales de Zúrich (Cláusulas 17 y 18).

c. En relación con las Cláusulas Contractuales Tipo, cuando una transferencia de Doodle al Cliente esté sujeta a las Leyes Suizas de Protección de Datos, ( i) las referenciasa la legislación de la Unión Europea se interpretarán para incluir una referencia a la Ley Federal Suiza de Protección de Datos ("FDPA"); (ii) Suiza se considerará un "estado miembro" y las referencias a un "estado miembro" se interpretarán para incluir a Suiza; (iii) los términos utilizados en las Cláusulas Contractuales Tipo que se definan en la FDPA se interpretarán como en virtud de la FDPA. d. En relación con las Cláusulas Contractuales Tipo, cuando una transferencia de Doodle al Cliente esté sujeta a las Leyes de Protección de Datos del Reino Unido, dichas Cláusulas se leerán de conformidad con, y se considerarán modificadas por, las disposiciones de la Parte 2 (Cláusulas Obligatorias) del Apéndice sobre Transferencia Internacional de Datos del Reino Unido a las Cláusulas Contractuales Tipo de la Comisión de la UE ("IDTA del Reino Unido"), y las Partes confirman que la información requerida a efectos de la Parte 1 (Tablas) de la IDTA del Reino Unido se completa por la presente de la siguiente manera:

1. Para la Tabla 1: los campos de las Partes se considerarán rellenados previamente con las partes exportadora e importadora establecidas en el Anexo 1.A del presente documento;

2. Para la Tabla 2: dichas Cláusulas incluyendo la Información del Apéndice y con sólo los módulos, cláusulas o disposiciones opcionales de las Cláusulas enumeradas anteriormente para la UE y Suiza, puestas en vigor a efectos del IDTA del Reino Unido;

3. Para la Tabla 3: la Información del Apéndice se establece en lo siguiente:

i. Anexo IA: Lista de Partes: tal y como figura en el Anexo 1.A del presente documento; ii. Anexo IB: Descripción de la transferencia: tal y como figura en el Anexo 1.B del presente documento; iii. Anexo II: N/A;

4. Para la Tabla 4: cualquiera de ellas puede poner fin a la IDTA del Reino Unido de conformidad con las disposiciones de la Sección 19 de la IDTA del Reino Unido.

B. Obligaciones. Doodle deberá: (i) asistir al Cliente, en la medida razonable, en el cumplimiento de sus obligaciones de conformidad con los artículos 32 a 36 del GDPR, su equivalente en virtud de las Leyes de Protección de Datos del Reino Unido o su equivalente en virtud de las Leyes de Protección de Datos de Suiza, según corresponda a); (ii) mantener un registro de todas las categorías de actividades de Procesamiento llevadas a cabo en nombre del Cliente de conformidad con el artículo 30(2) del GDPR o su equivalente en virtud de las Leyes de Protección de Datos del Reino Unido o su equivalente en virtud de las Leyes de Protección de Datos de Suiza, según corresponda; y (iii) cooperar, previa solicitud, con una autoridad de supervisión de la UE, el Reino Unido o Suiza, según corresponda en relación con el desempeño de los Servicios.

A. CCPA. Esta Sección se aplica al Procesamiento de Datos Personales por parte de Doodle, y Doodle actúa como Proveedor de Servicios del Cliente (salvo que se disponga lo contrario en esta Sección) con respecto al Procesamiento de Datos Personales sujeto a la CCPA. El Cliente revela los Datos Personales a Doodle, y Doodle procesará dichos Datos Personales únicamente para los fines establecidos en el presente Acuerdo, incluida esta CCPA. En la medida en que exista un conflicto entre los términos de esta Sección, por un lado, y el Acuerdo, por otro, prevalecerán los términos establecidos en esta Sección. Todos los términos en mayúscula utilizados en esta Sección pero no definidos en el Acuerdo tendrán el significado que se les da en el CCPA, a menos que se indique lo contrario.

B. Doodle no podrá a. Vender o compartir los Datos personales; b. Conservar, utilizar o divulgar los Datos personales (i) para cualquier fin, incluido un fin comercial, distinto de los fines comerciales establecidos en el Acuerdo o razonablemente relacionados con los Servicios, o distinto de lo permitido por la CCPA, o (ii) fuera de la relación comercial directa entre las Partes, a menos que esté expresamente permitido por la CCPA; c. combinar los Datos personales con datos personales que Doodle reciba de, o en nombre de, otra persona o personas, o recopile de su propia interacción con el Consumidor, siempre que Doodle pueda combinar los Datos personales para llevar a cabo cualquier Propósito comercial según lo permitido por la CCPA. C. Doodle cumplirá con las obligaciones que le sean aplicables como Proveedor de Servicios en virtud de la CCPA, y proporcionará a los Datos Personales el mismo nivel de protección de la privacidad que la CCPA exige a las Empresas. D. El Cliente tendrá derecho a tomar medidas razonables y apropiadas para ayudar a garantizar que Doodle utilice los Datos personales de forma coherente con las obligaciones del Cliente en virtud de la CCPA. El proceso para tales pasos será el establecido en la Sección 8 a continuación. E. Doodle notificará al Cliente si toma la determinación de que ya no puede cumplir con sus obligaciones como Proveedor de Servicios en virtud de la CCPA. Si Doodle así se lo notifica al Cliente, éste tendrá derecho a tomar las medidas razonables y apropiadas para detener y remediar el uso no autorizado de los Datos Personales. F. Doodle puede contratar a un subprocesador para que le ayude a procesar los Datos personales para un Propósito comercial en nombre del Cliente de conformidad con un contrato escrito (la forma de texto es suficiente) vinculante para el subprocesador que cumpla con la CCPA. G. En la medida en que el Cliente revele, comparta o ponga a disposición de Doodle los Datos personales, el Cliente lo hace para el/los Propósito(s) comercial(es) limitado(s) y especificado(s) según se describe en el Anexo 1. H. En la medida en que el Cliente revele o ponga de otro modo a disposición de Doodle Datos desidentificados, o Doodle desidentifique Datos personales, Doodle se compromete a (i)tomar medidas razonables para garantizar que los Datos desidentificados no puedan asociarse con un individuo o un hogar; (ii) comprometerse públicamente a mantener y utilizar los Datos personales en forma desidentificada y a no intentar reidentificar los Datos personales, y (iii) obligar contractualmente a cualquier receptor posterior a cumplir todas las disposiciones de este párrafo H. I. Doodle proporcionará asistencia razonable al Cliente para garantizar el cumplimiento de las obligaciones del Cliente de llevar a cabo evaluaciones de riesgo y Auditorías de Ciberseguridad, y para cumplir con los requisitos del Cliente con respecto a las Tecnologías de Toma de Decisiones Automatizadas, teniendo en cuenta la naturaleza del Procesamiento y la información disponible para Doodle. J. Las Partes acuerdan que no se pretende ninguna Venta o Reparto de Datos Personales como parte de este Acuerdo, y las Partes acuerdan que cualquier suministro de Datos Personales por una Parte a la otra en virtud de este Acuerdo es necesario para llevar a cabo un Propósito Comercial como se describe en la Sección 9 a continuación o en el Anexo 1,y no es parte de, y está explícitamente excluido de, el intercambio de contraprestación, o cualquier otra cosa de valor, entre las Partes.

A. Lista de subprocesadores. El Cliente consiente el uso por parte de Doodle de subprocesadores que pueden Procesar Datos Personales en nombre del Cliente para ayudar a Doodle a proporcionar los Servicios. La lista de los subprocesadores actuales de Doodle está disponible aquí. Doodle puede actualizar su lista de subprocesadores de vez en cuando, y pondrá a disposición cualquier actualización de dicha lista en línea y dará aviso al Cliente. El Cliente podrá oponerse por escrito en un plazo de dos (2) semanas a partir de la notificación por motivos justificados. Si el Cliente se opone, las Partes negociarán de buena fe para encontrar una solución. Si las Partes no pueden llegar a un acuerdo sobre una solución en el plazo de dos (2) meses a partir de la notificación de la objeción, cualquiera de las Partes podrá rescindir el Pedido Individual afectado mediante notificación por escrito en el plazo de dos (2) semanas a partir de la expiración del periodo de negociación. B. Acuerdos de Subprocesador. Doodle celebrará un acuerdo por escrito (la forma de texto es suficiente) con cualquier subprocesador que contenga obligaciones de protección de datos que sean al menos tan restrictivas como sus obligaciones en este DPA.

A. Seguridad de los Datos. Doodle utilizará medidas técnicas y organizativas comercialmente razonables y adecuadas a la naturaleza de los Datos Personales para mantener la seguridad, confidencialidad e integridad de los Datos Personales, y para proteger los Datos Personales del acceso, destrucción, uso, modificación o divulgación no autorizados o ilegales. Doodle implementará y mantendrá al menos las medidas técnicas y organizativas establecidas en el Anexo 2. B. Personal autorizado. Doodle se asegurará de que los empleados, contratistas, agentes y auditores de Doodle que necesiten conocer o acceder de cualquier otro modo a los Datos Personales con el fin de permitir a Doodle cumplir con sus obligaciones en virtud del Acuerdo estén sujetos a un deber de confidencialidad con respecto a los Datos Personales. C. Brechas de seguridad. Al tener conocimiento de una Violación de Seguridad, Doodle prontamente: (i) notificará al Cliente de la Violación de Seguridad; (ii) investigará la Violación de Seguridad; (iii) proporcionará al Cliente los detalles necesarios sobre la Violación de Seguridad según lo requiera la ley aplicable; y (iv) tomará medidas razonables para evitar que se repita la Violación de Seguridad. Doodle pondrá a disposición los registros pertinentes y otros materiales relacionados con los efectos de la Brecha de Seguridad sobre el Cliente en la medida necesaria para cumplir con las Leyes de Protección de Datos, sujeto a cualquier obligación de confidencialidad vinculante para Doodle en virtud de cualquier ley o contrato aplicable.

A. Asistencia del procesador. Previa solicitud por escrito del Cliente, Doodle proporcionará al Cliente la asistencia razonable que sea necesaria para ayudarle a cumplir con sus obligaciones en virtud de las Leyes de protección de datos, incluyendo el suministro de información al Cliente sobre las medidas de seguridad técnicas y organizativas de Doodle, y según sea necesario para completar las evaluaciones de protección de datos (cuyo proceso se establece en la Sección 8 a continuación). B. Solicitudes del interesado. Si un invitado, un empleado del Cliente u otro Sujeto de Datos aplicable realiza una Solicitud del Sujeto de Datos a Doodle, Doodle aconsejará al Sujeto de Datos que presente su solicitud directamente al cliente de Doodle que sea el Controlador aplicable de esos Datos Personales, e informará al Cliente de dicha solicitud si el Sujeto de Datos identifica al Cliente como el Controlador aplicable a Doodle. El Cliente es responsable de las Solicitudes del Sujeto de Datos. Doodle proporcionará plena cooperación y asistencia al Controlador en relación con cualquier solicitud de los Sujetos de Datos para tener acceso a los Datos Personales conservados sobre ellos o en relación con cualquier otra solicitud, alegación o queja por parte de una autoridad competente o un Sujeto de Datos, incluyendo la notificación por escrito al Controlador sin demora indebida de la recepción de cualquier notificación o solicitud. La información de contacto para las solicitudes de los Sujetos de los Datos puede encontrarse en nuestro sitio web. C. Costes. Si Doodle determina de buena fe que una solicitud de asistencia en virtud de esta Sección no es razonable, es excesivamente onerosa y está fuera de las expectativas de la industria para la asistencia en cada asunto respectivo, las Partes acordarán de buena fe los costes que deberá pagar el Cliente a Doodle por dicha asistencia.

En un plazo de treinta (30) días a partir de la solicitud por escrito del Cliente, y no más de una vez al año, Doodle pondrá a disposición del Cliente (o de un auditor externo acordado mutuamente) la información razonablemente necesaria para demostrar el cumplimiento por parte de Doodle de las obligaciones establecidas en este APD en forma de su(s) informe(s) de auditoría o certificación de terceros más reciente(s) (como SOC 2 o Cloud Verify). Si, tras recibir el informe o informes, el Cliente, a su juicio razonable, determina que se necesita más información para confirmar que Doodle está cumpliendo con sus obligaciones en este DPA o para que el Cliente pueda completar una evaluación de protección de datos, el Cliente podrá solicitar por escrito dicha información adicional. Las Partes colaborarán entonces de buena fe para acordar la información adicional que Doodle deberá proporcionar, y Doodle proporcionará la información acordada. Cuando la Ley de Protección de Datos aplicable exija el derecho a inspecciones in situ, Doodle permitirá al Cliente llevar a cabo dichas inspecciones. Toda la información proporcionada por Doodle en virtud de esta Sección se considera Información Confidencial de Doodle y está sujeta a las obligaciones de confidencialidad establecidas en el Acuerdo.

Las Partes reconocen y aceptan que Doodle procesa determinados datos personales como Responsable del tratamiento que se describen en nuestro Aviso de privacidad, y los procesa de conformidad con el mismo, para los siguientes fines cuando las leyes de protección de datos de la UE, el Reino Unido o Suiza sean aplicables a dichos datos personales: (i) para gestionar la relación con el Cliente, incluida la creación de cuentas de cliente, la gestión de la facturación y la realización de actividades de ventas y marketing; (ii) para fines relacionados con las operaciones empresariales internas de Doodle, como contabilidad, auditorías, preparación y presentación de impuestos y fines de cumplimiento; (iii) para supervisar, investigar, prevenir y detectar fraudes, incidentes de seguridad y otros usos indebidos de los Servicios; ( iv) para fines de verificación de identidad; (v) para cumplir con las obligaciones legales o reglamentarias aplicables al tratamiento y conservación de datos personales a las que Doodle está sujeta; (vi) para desarrollar, mejorar y comprender el uso de sus productos y servicios, y (vii) según lo permitido por las leyes de protección de datos y según lo establecido en el Aviso de privacidad de Doodle.

A. Conflicto. En caso de conflicto o incoherencia entre este APD y las Leyes de Protección de Datos, prevalecerán las Leyes de Protección de Datos. En caso de conflicto o incoherencia entre los términos de este APD y los términos del Acuerdo, prevalecerán los términos de este APD únicamente en la medida en que el asunto se refiera al tratamiento de Datos Personales. B. Modificaciones. El presente APD no podrá ser modificado salvo mediante instrumento escrito firmado por las Partes. En la medida en que cualquier autoridad de protección de datos determine que el Acuerdo o este DPA es insuficiente para cumplir con las Leyes de Protección de Datos o con los cambios en las Leyes de Protección de Datos, el Cliente y Doodle acuerdan cooperar de buena fe para modificar el Acuerdo o este DPA o celebrar otros acuerdos de procesamiento de datos de mutuo acuerdo en un esfuerzo por cumplir con todas las Leyes de Protección de Datos. C. Responsabilidad. La responsabilidad de cada una de las Partes derivada o relacionada con el presente APD, ya sea contractual, extracontractual o en virtud de cualquier otra teoría de responsabilidad, está sujeta a las limitaciones de responsabilidad contenidas en el Acuerdo. Para evitar cualquier duda, toda referencia en el presente documento al "APD" significa el presente APD, incluidos sus anexos y pruebas documentales. D. Ley aplicable y arbitraje. Para evitar cualquier duda, la Sección 16.1 del Contrato marco de servicios ("Ley aplicable y arbitraje") se aplica al presente APD. E. Acuerdo completo. El presente APD se entiende sin perjuicio de los derechos y obligaciones de las Partes en virtud del Acuerdo, que seguirán teniendo plena vigencia y efecto. Este APD junto con el Acuerdo es el acuerdo final, completo y exclusivo de las partes con respecto al objeto del mismo y sustituye y fusiona todas las discusiones y acuerdos anteriores entre las Partes con respecto a dicho objeto.

A. Lista de partes a. Controlador.i. El Responsable del tratamiento es el Cliente. ii. Dirección: la dirección del Cliente establecida en el Acuerdo. iii. Nombre, cargo y datos de la persona de contacto: Marko Midzor Jefe de TI, [email protected]iv. Actividades relevantes: actividades necesarias para prestar los Servicios descritos en el Acuerdo. v. Firma y fecha: se considera que el Cliente ha firmado el presente Anexo I al suscribir el Contrato marco de servicios.b. Procesador.i.El Procesador es Doodle AG. ii. Dirección: Werdstrasse 21, 8004 Zúrich, Suiza iii. Nombre, cargo y datos de contacto de las personas de contacto: Jefe de TI de Doodle: Marko Midzor Correo electrónico: [email protected]. DPO de Doodle AG: Elena Frahm, TÜV Informationstechnik GmbH Am TÜV 1, 45307 Essen Alemania, Email: [email protected] iv.Actividades relevantes: Actividades necesarias para prestar los Servicios descritos en el Acuerdo. v. Firma y fecha: Se considera que Doodle ha firmado el presente Anexo I al suscribir el Contrato marco de servicios. B. Categorías de Sujetos de Datos cuyos Datos Personales son procesados. El Cliente podrá enviar Datos Personales a Doodle, cuyo alcance será determinado y controlado por el Cliente a su entera discreción, y que podrán incluir, entre otros, Datos Personales relativos a las siguientes categorías de Sujetos de Datos: (i) los usuarios finales del Cliente (y de los Afiliados del Cliente) según lo permitido en el Acuerdo, incluidos empleados, contratistas, representantes y agentes, y (ii) las personas con las que el Cliente (y los Afiliados del Cliente) concierta citas y con las que se reúne mediante el uso de los servicios de Doodle, que pueden incluir a sus representantes, socios comerciales, colaboradores, candidatos a un puesto de trabajo, clientes y clientes potenciales. C. Categorías de Datos Personales tratados. El Cliente puede enviar Datos Personales a Doodle, cuyo alcance es determinado y controlado por el Cliente a su entera discreción, y que puede incluir, pero no se limita a las siguientes categorías de Datos Personales: Nombre y apellidos; Título; Cargo; Empleador; Información de contacto (empresa, correo electrónico, teléfono, dirección comercial física); Datos personales contenidos en detalles de eventos de calendario conectados; Ubicación aproximada y/o zona horaria; y otros datos en formato electrónico utilizados por el Cliente en el contexto de los Servicios. D. Datos sensibles transferidos (si procede). Podrán transferirse datos sensibles en determinados casos de uso de los Servicios, como el origen racial o étnico, la afiliación sindical o los datos relativos a la salud. E. Frecuencia de la transferencia. Frecuencia de la transferencia. Continua. F. Objeto/Naturaleza del tratamiento. Los procesos pueden incluir la recopilación, el almacenamiento, la recuperación, la consulta, el uso, el borrado o la destrucción, la divulgación mediante transmisión, la difusión o cualquier otra forma de puesta a disposición de los Datos Personales del Cliente según sea necesario para prestar los Servicios de acuerdo con las instrucciones del Cliente, incluidos los fines internos relacionados cuando lo permita la legislación aplicable (como el control de calidad, la resolución de problemas, la seguridad de la información, la prevención y detección de spam, fraude y abuso y el desarrollo y mejora de productos). G. Finalidad(es) de la transferencia de datos y del tratamiento posterior. El objetivo del tratamiento de los Datos Personales por parte de Doodle es la prestación de los Servicios contractuales en virtud del Acuerdo con el Cliente. H. El periodo durante el cual se conservarán los Datos Personales o, si esto no fuera posible, los criterios utilizados para determinar dicho periodo. Los Datos Personales se conservarán durante el tiempo que sea razonablemente necesario para cumplir los fines para los que se recopilaron los datos, para cumplir nuestras obligaciones contractuales y legales, y durante los plazos de prescripción aplicables a efectos de interposición y defensa de reclamaciones. I. Para las transferencias a (sub)encargados del tratamiento, especifique también el objeto, la naturaleza y la duración del tratamiento. La materia y la naturaleza del tratamiento por parte de los subencargados del tratamiento es la que figura aquí en la lista de subencargados del tratamiento. La duración del procesamiento por parte de los subprocesadores será mientras Doodle preste al Cliente los Servicios en virtud del Acuerdo.

J. Fines comerciales. (1) Ayudar a garantizar la seguridad e integridad de los Servicios (en la medida en que el uso de los Datos Personales pertinentes sea razonablemente necesario y proporcionado para estos fines). (2) Depuración para identificar y reparar errores que perjudiquen la funcionalidad prevista existente de los Servicios. (3) Prestación de los Servicios en nombre del Cliente, incluida la prestación de servicios de asistencia a los Usuarios Autorizados, la verificación de la información de los Usuarios Autorizados del Cliente y el almacenamiento de datos. (4) Emprender investigaciones internas para el desarrollo tecnológico y la demostración de los Servicios.

Doodle implementa y mantiene al menos las medidas técnicas y organizativas establecidas en este anexo. Los subprocesadores de Doodle implementan y mantienen medidas técnicas y organizativas que proporcionan al menos el mismo nivel de protección que las medidas de Doodle, incluso si dichas medidas no son idénticas.

A. Confidencialidad (Artículo 32(1)(a-b) del GDPR o su equivalente bajo las Leyes de Protección de Datos aplicables)

a. Control de acceso físico. Medidas para impedir que personas no autorizadas accedan a los equipos con los que se tratan o utilizan los datos:

• Doodle despliega sistemas de gestión de vídeo y de control de acceso físico en todas sus oficinas, para evitar que personas no autorizadas (es decir, sin los privilegios de acceso adecuados) accedan a los equipos de tratamiento de datos.

b. Control de acceso electrónico. Medidas para impedir el uso de los sistemas de procesamiento de datos por parte de personas no autorizadas:

• El acceso se restringe basándose en el principio del menor privilegio y la necesidad de saber.

• Doodle utiliza una plataforma de gestión de identidad y acceso, nombre de usuario/contraseña, SSO y MFA para restringir el acceso.

• Doodle cuenta con una política de contraseñas por escrito que se coteja y aplica mediante la política de contraseñas de la aplicación del servicio de gestión de identidades.

• Todos los portátiles de Doodle están encriptados utilizando la aplicación de almacenamiento de archivos.

• Los datos de los clientes se cifran en la nube utilizando el cifrado nativo por bloques AES-256 de la Aplicación del Entorno de la Nube y las claves se gestionan a través del Servicio de Gestión de Claves (KMS) de la Aplicación del Entorno de la Nube.

• Doodle utiliza TLS 1.2 o superior para cifrar los datos de los clientes en tránsito.

c. Control de acceso interno. Medidas para evitar que las personas autorizadas a utilizar un sistema de procesamiento de datos sólo puedan acceder a los datos sujetos a su autorización de acceso y que los datos no puedan ser leídos, copiados, modificados o eliminados sin autorización durante su procesamiento, uso y tras su almacenamiento:

• Los datos de los clientes se cifran en la nube utilizando el cifrado por bloques AES-256 nativo de la aplicación del entorno de la nube y las claves se gestionan a través del servicio de gestión de claves (KMS) de la aplicación del entorno de la nube.

• Doodle utiliza TLS 1.2 o superior para cifrar los datos de los clientes en tránsito.

• La segregación de funciones se aborda explícitamente en la Política de control de acceso, que contiene una explicación de alto nivel de la metodología de segregación de acceso de la empresa.

• Los derechos de acceso lógicos se segregan mediante permisos de grupo en la aplicación del servicio de gestión de identidades.

• Doodle realiza revisiones periódicas de los derechos de acceso para hacer cumplir la segregación de funciones.

• Doodle utiliza la plataforma de protección de puntos finales para supervisar los puntos finales internos.

d. Control de aislamiento. Medidas para evitar que los datos recogidos para distintos fines puedan procesarse por separado:

• El acceso a los sistemas del cliente y a los datos de configuración está restringido al personal autorizado de Doodle.

• El acceso a la producción está restringido al personal autorizado, con todos los despliegues de código y correcciones de emergencia gobernados por revisiones obligatorias por pares, flujos de trabajo automatizados de aprobación CI/CD y procesos de gestión de cambios con tickets.

• Doodle mantiene una red de invitados distinta y utiliza una solución MDM para rotar y enviar contraseñas ocultas para la red inalámbrica interna cada seis meses, garantizando una demarcación de acceso estricta.

e. Pseudonimización y cifrado. Tratamiento de datos personales de tal forma que los datos ya no puedan atribuirse a un sujeto de datos específico sin el uso de información adicional, siempre que dicha información adicional se conserve por separado y se tomen las medidas técnicas y organizativas adecuadas:

• Todos los ordenadores portátiles de Doodle están encriptados mediante la aplicación de almacenamiento de archivos.

• Doodle utiliza TLS 1.2 o superior para cifrar los datos de los clientes en tránsito.

• Los datos de los clientes se cifran en la nube utilizando el cifrado por bloques AES-256 nativo de la Aplicación de Entorno en la Nube y las claves se gestionan a través del Servicio de Gestión de Claves (KMS) de la Aplicación de Entorno en la Nube.

• El acceso a las claves de cifrado se rige estrictamente por el principio del menor privilegio, restringido a un número limitado de personal autorizado dentro de Doodle.

B. Integridad

(Artículo 32(1)(b) del GDPR o su equivalente bajo las Leyes de Protección de Datos aplicables)

a. Control de la transferencia. Medidas para evitar que los datos puedan ser leídos, copiados, alterados o eliminados por personas no autorizadas durante su transmisión electrónica o durante su transporte o almacenamiento en soportes de datos:

• Todos los portátiles de Doodle están encriptados mediante la aplicación de almacenamiento de archivos.

• Los datos de los clientes se cifran en la nube utilizando el cifrado nativo por bloques AES-256 de la Aplicación de Entorno en la Nube y las claves se gestionan a través del Servicio de Gestión de Claves (KMS) de la Aplicación de Entorno en la Nube.

• Doodle utiliza TLS 1.2 o superior para cifrar los datos de los clientes en tránsito.

b. Control de entrada y divulgación. Medidas que permiten comprobar a posteriori si los datos han sido introducidos, modificados, divulgados (en su caso, a quién) y eliminados de los sistemas de procesamiento de datos, y por quién:

• Doodle mantiene registros exhaustivos de todos los entornos de producción. Estos registros se almacenan en un depósito centralizado que está lógicamente separado de los sistemas de producción para evitar la manipulación y garantizar la integridad forense.

• Todos los registros de acceso y actividad se conservan durante un año como mínimo, con fines de auditoría de cumplimiento y supervisión de la seguridad.

c. Control del almacenamiento: Medidas para evitar que personas no autorizadas lean, copien, alteren, muevan, borren o destruyan los datos almacenados:

• Los datos de los clientes se gestionan, procesan y almacenan siguiendo las normas pertinentes de protección de datos y otras normas establecidas formalmente en nuestras políticas.

• Doodle sigue una política de control de acceso basado en roles (RBAC), tal y como se establece en las políticas internas de Doodle.

• Los derechos de administración están restringidos a cuentas sólo accesibles por el equipo de servicios técnicos de Doodle a las que se ha aprobado y concedido el rol de administración mediante procedimientos de control de cambios.

C. Disponibilidad y resistencia

(Artículo 32(1)(c) del GDPR o su equivalente bajo las Leyes de Protección de Datos aplicables)

a. Control de la disponibilidad: Medidas para proteger los datos contra la destrucción o pérdida accidental:

• Como organización que da prioridad a la nube, todos los datos se alojan en una infraestructura en la nube de alta disponibilidad con redundancia integrada en varias zonas de disponibilidad.

b. Recuperabilidad rápida: Medidas para permitir una rápida restauración de los datos en caso de incidente físico o técnico.

• Doodle realiza diariamente copias de seguridad completas de su infraestructura en la nube.

• Las copias de seguridad internas se cifran en tránsito y en reposo. Para en tránsito, Doodle utiliza un mínimo de TLS 1.2 y para el cifrado en reposo Doodle utiliza un algoritmo de cifrado AES-256 estándar del sector.

c. Seguridad del sistema: Medidas para adaptar los sistemas operativos y el software de aplicación a los nuevos estándares de seguridad y resolver las vulnerabilidades críticas:

• La política de gestión de parches de Doodle rige un ecosistema centralizado en el que los puntos finales se parchean a través de la aplicación de automatización de la gestión de dispositivos móviles y la aplicación de gestión en la nube, la infraestructura se gestiona a través del gestor de parches de aplicaciones del entorno en la nube y las versiones se despliegan a través de la herramienta App - Dev, incorporando idealmente pruebas de preproducción para evaluar los parches antes de su despliegue completo.

• Doodle escanea con frecuencia su infraestructura interna y de cara al público en busca de vulnerabilidades y exposiciones comunes.

D. Procedimientos de revisión, valoración y evaluación periódicas

(Artículo 32(1)(d) del GDPR o su equivalente bajo las Leyes de Protección de Datos aplicables)

a. Gestión de la protección de datos:

• Doodle cuenta con políticas, procedimientos y normas que tienen como objetivo que los datos personales de los clientes se manejen de forma responsable y de conformidad con los principios, leyes y reglamentos de protección de datos aplicables a Doodle.

• Doodle ha publicado y aplicado una Política de clasificación de la información que aborda la clasificación y el cifrado de la información. Los datos personales del personal y de los clientes se cifran de acuerdo con dicha política.

• Todos los ordenadores portátiles del personal están encriptados mediante la Aplicación de Almacenamiento de Archivos.

• De forma continua, Doodle imparte formación de concienciación sobre la privacidad a toda su plantilla y, cuando está permitido, registra su realización.

• Doodle revisa y registra dónde y cómo sus productos y servicios recopilan, utilizan, retienen y eliminan datos personales. Los riesgos se identifican, registran y mitigan.

• Doodle es transparente sobre cómo recopila, procesa, retiene y elimina los datos personales. Los datos personales que Doodle recoge, utiliza, procesa y comparte dependen de los servicios concretos que se hayan solicitado y/o de las actividades que se estén llevando a cabo. Para más información, consulte nuestra Política de privacidad.

• Doodle utiliza los datos personales que recopila de acuerdo con las normas y reglamentos pertinentes de protección de datos aplicables a Doodle. Doodle es claro acerca de las razones por las que recopila y utiliza los datos personales y de una manera que es coherente con esos fines.

• Los datos de los clientes están protegidos además por un proceso SDLC que implementa las mejores prácticas y controles de seguridad para sus aplicaciones, como el cifrado AES de 256 bits para los datos en reposo, la supervisión y el registro, la gestión de vulnerabilidades y el endurecimiento del sistema.

• Doodle aprovecha una plataforma integrada para la formación de concienciación sobre seguridad combinada con ataques de phishing simulados de forma regular para todos sus empleados.

• Anualmente, Doodle completa una auditoría externa independiente basada en los requisitos de los principios de servicios de confianza de la SOC 2 Tipo II de la AICPA. Doodle también ha alcanzado el nivel 3 de MSP Alliance Cyber Verify, lo que significa que las áreas críticas de nuestras operaciones de servicios en la nube, incluida la privacidad de los datos, la seguridad de la red, la disponibilidad y el tiempo de actividad, los planes de recuperación ante desastres, la escalabilidad y el cumplimiento, han sido auditadas y se considera que cumplen las normativas del sector.

• Para cumplir los requisitos del GDPR, Doodle ha designado formalmente a un responsable de protección de datos (DPO) externo para que se encargue de la supervisión independiente y la integridad continua de sus actividades de procesamiento de datos personales.

• Doodle mantiene un proceso formalizado para gestionar las solicitudes de los interesados para permitir el cumplimiento de los derechos legales aplicables de acceso, rectificación y supresión dentro de los plazos reglamentarios establecidos.

b. Gestión de respuesta a incidentes:

• Doodle cuenta con un Plan de Continuidad Empresarial, un Plan de Respuesta a Incidentes de Seguridad y Procedimientos de Respuesta a Incidentes de Seguridad y una Política y Procedimientos de Gestión de la Vulneración de Datos que se ponen a prueba anualmente.