Anexo sobre el tratamiento de datos al aviso legal y las condiciones de uso de MyScript

1.1 A menos que se defina lo contrario en el presente documento, los términos y expresiones en mayúscula empleados en este ATD tendrán el siguiente significado:

“Data Protection Laws” means laws and regulations of the European Union, the EEA and their Member States, Switzerland and the United Kingdom, applicable to the Processing of Personal Data, including the GDPR;

“Data Transfer” means:

• una transferencia de Datos Personales de Usuario de Usted al Encargado del Tratamiento; o
• una transferencia posterior de Datos Personales de Usuario del Encargado del Tratamiento a un Subencargado, o entre dos establecimientos del Encargado del Tratamiento, en la que, en ambos casos, dicha transferencia estaría prohibida por las Leyes de Protección de Datos (o por los términos de los acuerdos de transferencia de datos puestos en práctica para responder a las restricciones en la transferencia de datos de las Leyes de Protección de Datos);

“DPA” means this Data Processing Agreement including all Schedules;

“EEA” means the European Economic Area;

“GDPR” means EU General Data Protection Regulation 2016/679;

“End-User” means the physical person(s) granted access by You to use MyScript Cloud recognition through the developer portal;

“Services”means the services MyScript provides either (i) through MyScript apps’ cloud features or (ii) managing and replying to Nebo for Windows’, Nebo’ or MyScript Math’s support requests or (iii) through the MyScript developer portal for text recognition. These Services are only accessible once You have created a MyScript account;

“Sub-processor” means any natural or legal person appointed by or on behalf of Processor to process User Personal Data on Your behalf in connection with the provision of the Services or this DPA;

“User Personal Data” means any Personal Data contained in any files, notes or documents that is uploaded to/sent to the Processor through the Services, such as any of Your content that You upload using MyScript apps’ cloud features. (This may include Your own personal data but also any personal data of any other natural person that you share with the Processor through the Service.)

1.2 The terms “Controller”, “Data Subject”, “Member State”, “Personal Data”, “Personal Data Breach”, “Processing” and “Processor” shall have the same meaning as in the GDPR, and their related terms shall be construed accordingly.

2.1 A los efectos de este ATD y según las definiciones del RGPD, MyScript actúa como Encargado del Tratamiento y Usted actúa como Responsable del Tratamiento.

2.2 El Encargado del Tratamiento deberá:

• cumplir con todas las Leyes de Protección de Datos aplicables en el Tratamiento de Datos Personales de Usuario; y
• no tratar Datos Personales de Usuario si no es bajo instrucciones de Usted documentadas.

2.3 Por el presente, Usted da instrucción al Encargado del Tratamiento de que trate los Datos Personales de Usuario para proporcionar los Servicios.

Processor shall take reasonable steps to ensure the reliability of any employee, agent or contractor of the Processor who may have access to User Personal Data, ensuring in each case that access is strictly limited to those individuals who need to access the relevant User Personal Data for the provision of the Services or to carry out their role within Processor’s organization, and to comply with applicable laws in the context of that individual’s duties to the Processor, ensuring that all such individuals are subject to confidentiality undertakings or professional or statutory obligations of confidentiality.

4.1 Processor’s Security Responsibilities

4.1.1 Teniendo en cuenta el estado de la tecnología, los costes de implementación y la naturaleza, el alcance, el contexto y los propósitos del Tratamiento, así como el riesgo de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el Encargado del Tratamiento deberá, en relación con los Datos Personales de Usuario, implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado a ese riesgo, incluyendo, según corresponda, las medidas a las que se hace referencia en el Artículo 32(1) del RGPD.

4.1.2 Al evaluar el nivel de seguridad adecuado, el Encargado del Tratamiento tendrá en cuenta, en concreto, los riesgos que presenta el Tratamiento, en particular los de Violación de la Seguridad de los Datos Personales.

4.1.3 Processor’s security measures are further detailed in Schedule 2 of this DPA.

4.2 Sus responsabilidades de seguridad

4.2.1. You agree that, without prejudice to Processor’s obligations under Section 4.1 (Security Measures) and Section 7 (Personal Data Breach):

4.2.1.1 Usted es el único responsable de Su uso del Servicio, lo que incluye (i) asegurarse de haber obtenido todos los permisos necesarios de cualquier persona física cuyos Datos Personales se traten a través del Servicio, y (ii) mantener todas Sus credenciales de inicio de sesión y contraseñas de forma segura y cambiándolas regularmente.

4.2.1.2. Processor has no obligation to protect User Personal Data that You elect to store or transfer outside of Processor’s (or Sub-processors’) systems.

4.2.2. You are solely responsible for reviewing the security measures and evaluating for yourself whether the Service, the security measures, the additional security information and Processor’s commitments under this Section 4 (Data Security) will meet Your needs, including with respect to any security obligations of Your jurisdiction’s applicable data protection laws.

5.1 El Encargado del Tratamiento no transferirá Datos Personales de Usuario a terceros y no designará (ni revelará ningún Dato Personal de Usuario a) ningún Subencargado a menos que Usted lo solicite o autorice.

5.2 Por el presente, Usted autoriza a los Subencargados enumerados en el Anexo 1 de este ATD a recibir y tratar Datos Personales de Usuario según sea necesario para la prestación de los Servicios. El Encargado del Tratamiento Le informará de cualquier cambio en el Anexo 1 antes del Tratamiento de Datos Personales de Usuario por parte de un nuevo Subencargado y Usted podrá dejar de utilizar los Servicios.

5.3 El Encargado del Tratamiento será responsable de los actos y omisiones de sus Subencargados en la misma medida en que lo sería si prestara los servicios de cada Subencargado directamente en virtud de los términos de este ATD y del Aviso Legal y las Condiciones de Uso.

6.1 Taking into account the nature of the Processing, Processor shall assist You by implementing appropriate technical and organizational measures, insofar as this is possible, for the fulfilment of Your obligations, as reasonably understood by Processor, to respond to requests to exercise Data Subject rights under the Data Protection Laws, namely right of access, right to rectification, restriction of Processing, erasure, data portability, objection to the Processing, or its right not to be subject to an automated individual decision making (hereinafter “Data Subject Request”).

6.2 El Encargado del Tratamiento deberá:

• notificarle a Usted de inmediato si recibe una solicitud de un Interesado en virtud de cualquier Ley de Protección de Datos con respecto a Datos Personales de Usuario; y
• asegurarse de que no responde a dicha solicitud, si no es bajo Sus instrucciones documentadas o según exijan las leyes aplicables a las que está sujeto el Encargado del Tratamiento, en cuyo caso el Encargado del Tratamiento, en la medida en que las leyes aplicables lo permitan, Le informará de dicho requerimiento legal antes de que el Encargado del Tratamiento responda a la solicitud.

6.3 Taking into account the nature of the Processing, Processor will assist You by appropriate technical and organizational measures, insofar as it is possible, for the fulfillment of Your obligation to respond to a Data Subject Request under European Data Protection Laws. In addition, to the extent You, in Your use of the Service, do not have the ability to address a Data Subject Request, Processor shall, upon Your written request, provide You with reasonable cooperation and assistance to facilitate Your response to such Data Subject Request, to the extent Processor is legally permitted to do so and the response to such Data Subject Request is required under European Data Protection Laws. To the extent legally permitted, You shall be responsible for any costs arising from Processor’s provision of such assistance.

7.1 El Encargado del Tratamiento se lo notificará a Usted y a la Autoridad de Supervisión Competente, sin demora indebida, en cuanto el Encargado tenga constancia de una Violación de la Seguridad de los Datos Personales que afecte a Datos Personales de Usuario, proporcionándole información suficiente para que Usted pueda cumplir con las obligaciones de informar a los Interesados de la Violación de la Seguridad de los Datos Personales en virtud de las Leyes de Protección de Datos.

7.2 El Encargado del Tratamiento cooperará con Usted y tomará las medidas comerciales razonables que Usted indique para colaborar en la investigación, mitigación y reparación de cada Violación de la Seguridad de los Datos Personales.

7.3 La notificación de cualquier Violación de la Seguridad de los Datos Personales Le será entregada por comunicación directa. Usted es el único responsable de garantizar que la información de contacto, incluida la dirección de correo electrónico de notificación, proporcionada al Encargado del Tratamiento esté actualizada y sea válida.

7.4 El Encargado del Tratamiento no evaluará el contenido de los Datos Personales de Usuario para identificar la información sujeta a requisitos legales específicos. Usted es el único responsable de cumplir con las leyes de notificación de incidentes aplicables y con las obligaciones de notificación de terceros relacionadas con cualquier Violación de la Seguridad de los Datos Personales.

7.5 Processor’s notification of, or response to, a Personal data Breach under this Section 7.1 (Personal Data Breach) will not be construed as an acknowledgement by Processor of any fault or liability with respect to the Personal Data Breach.

El Encargado del Tratamiento Le proporcionará asistencia razonable para la evaluación de cualquier impacto en la protección de datos, y consultas previas con las autoridades supervisoras u otras autoridades competentes en la privacidad de datos, que Usted razonablemente considere necesarias en base al artículo 35 o 36 del RGPD o disposiciones equivalentes de cualquier otra Ley de Protección de Datos, en cada caso únicamente en relación con el Tratamiento de Datos Personales de Usuario por parte del Encargado del Tratamiento, y teniendo en cuenta la naturaleza del Tratamiento y la información a disposición del Encargado.

9.1 Ante Su solicitud expresa o cuando Usted mismo elimine Su cuenta, el Encargado del Tratamiento eliminará los Datos Personales de Usuario que haya tratado o esté tratando el Encargado. La eliminación es definitiva y el Encargado del Tratamiento no conservará ninguna copia de dichos Datos Personales de Usuario.

9.2 En el momento de producirse el cese de los Servicios, el Encargado del Tratamiento deberá, con celeridad y en cualquier caso siempre dentro de los 12 meses posteriores a la fecha del cese de cualquier Servicio que implique el Tratamiento de Datos Personales de Usuario, eliminar y conseguir la eliminación de todas las copias (si las hubiera) de los Datos Personales de Usuario que se hayan transferido al Encargado del Tratamiento (o a cualquier Subencargado) durante la prestación del Servicio.

10.1 El Encargado del Tratamiento realizará auditorías periódicamente y se asegurará de que todos los Subencargados hagan lo mismo, a fin de garantizar el cumplimiento de este ATD y de las obligaciones de los Subencargados en virtud de las Leyes de Protección de Datos aplicables.

10.2 Bajo reserva de esta Sección 10, el Encargado del Tratamiento pondrá a Su disposición, previa solicitud y siempre que exista un acuerdo de confidencialidad suficiente, toda la información necesaria para demostrar el cumplimiento de este ATD, en relación con el Tratamiento de los Datos Personales de Usuario por parte del Encargado y /o Subencargados del Tratamiento.

10.3 Usted puede solicitar la realización de cualquier control o auditoría, incluida cualquier inspección. Tiene derecho a solicitarlo u ordenarlo por Su cuenta propia y por cuenta de Sus responsables del tratamiento cuando actúe como Encargado del Tratamiento, en virtud de la Ley de Protección de Datos aplicable, dando instrucción al Encargado del Tratamiento para que lleve a cabo la auditoría descrita en la Sección 10.1.

10.4 If You wish to change this instruction regarding the audit, then You have the right to request a change to this instruction by sending Processor a written notice to legal@myscript.com. If Processor declines to follow any request and/or instruction requested by You regarding audits, including inspections, You are entitled to terminate the Services immediately.

11.1 The Processor may not transfer, or authorize the transfer of, User Personal Data to countries outside the EU and/or the EEA without Your prior written consent. If Personal Data processed under this DPA is transferred from a country within the European Economic Area to a country outside the European Economic Area, the Parties shall ensure that the User Personal Data is adequately protected. To achieve this, the Parties shall, unless agreed otherwise, rely on EU adequacy decisions for non-EU countries and/or on EU approved standard contractual clauses for the transfer of Personal Data.

11.2 En el Anexo 1 de este ATD, se proporciona una lista de Subencargados del Tratamiento que reciben Datos Personales de Usuario y los países en los que se encuentran. A los efectos de la Sección 11.1 anterior, Usted da su consentimiento para la transferencia de Datos Personales de Usuario a los Subencargados enumerados en el Anexo 1.

12.1 Duration. This DPA takes effect upon Your acceptation of the Legal Notice and Terms of Use and shall remain in effect for as long as the Processor provides You the Services.

12.2 Notices. All notices and communications given under this DPA must be in writing and sent through email to the address used to create a MyScript account in the case of MyScript contacting You, and must be sent to legal@myscript.com in case You wish to notify MyScript.

12.3 Law and jurisdiction. This DPA is governed by the laws of France, excluding its conflict of law provisions. Any dispute arising out of or in connection with this DPA, which the Parties will not be able to resolve amicably, will be submitted to the exclusive jurisdiction of the competent French courts or authorities.

12.4 Severance. Should any provision of this DPA be invalid or unenforceable, then the remainder of this DPA shall remain valid and in force. The invalid or unenforceable provision shall be either (i) amended as necessary to ensure its validity and enforceability, while preserving the Parties' intentions as closely as possible or, if this is not possible, (ii) construed in a manner as if the invalid or unenforceable part had never been contained therein.

12.5 La Autoridad de Supervisión Competente que debe ser contactada en caso de reclamación, queja o solicitud es la Commission Nationale des Informations et des Libertés (CNIL) francesa, con la que se puede contactar a través de https://www.cnil.fr/fr/plaintes/.

1.1 MyScript apps' cloud features

dpa.t126

1.2 MyScript Cloud recognition through the developer portal

El Encargado del Tratamiento implementará y mantendrá las siguientes medidas de seguridad técnicas y organizativas al tratar Datos Personales de Usuario por cuenta de Usted:

Controles de acceso físico

El Encargado del Tratamiento tomará las medidas razonables para impedir el acceso físico, como edificios protegidos y salas de servidores protegidas, para evitar que personas no autorizadas tengan acceso a Datos Personales de Usuario, o garantizar que los Subencargados del Tratamiento que operen centros de datos por su cuenta se adhieran a tales controles.

Controles de acceso al sistema

El Encargado del Tratamiento tomará las medidas razonables para evitar que se utilicen Datos Personales de Usuario sin autorización. Estos controles variarán en función de la naturaleza del Tratamiento realizado y pueden incluir, entre otros controles, la autenticación mediante contraseñas, combinada con la autenticación multifactor cuando corresponda, procesos de autorización documentados, cortafuegos, procesos de gestión de cambios documentados y/o registro de acceso en varios niveles y actualizaciones de seguridad automáticas.

Controles de acceso al sistema

El Encargado del Tratamiento tomará las medidas razonables para evitar que se utilicen Datos Personales de Usuario sin autorización. Estos controles variarán en función de la naturaleza del Tratamiento realizado y pueden incluir, entre otros controles, la autenticación mediante contraseñas, combinada con la autenticación multifactor cuando corresponda, procesos de autorización documentados, cortafuegos, procesos de gestión de cambios documentados y/o registro de acceso en varios niveles y actualizaciones de seguridad automáticas.

Controles de acceso a los datos

El Encargado del Tratamiento tomará las medidas razonables para garantizar que los Datos Personales de Usuario solo estén accesibles y puedan ser gestionados por personal debidamente autorizado, que el acceso directo a la consulta de la base de datos esté restringido y que los derechos de acceso a las aplicaciones estén establecidos y se apliquen para garantizar que las personas con derecho a usar un sistema de tratamiento de datos tengan acceso solo a los Datos Personales de Usuario para los que tengan privilegios de acceso, y que los Datos Personales de Usuario no se puedan leer, copiar, modificar ni eliminar sin autorización durante el Tratamiento.

Controles de transmisión

El Encargado del Tratamiento tomará las medidas razonables para garantizar que se pueda verificar y establecer a qué entidades está prevista la transferencia de Datos Personales de Usuario por medio de instalaciones de transmisión de datos para que los Datos Personales de Usuario no se puedan leer, copiar, modificar o eliminar sin autorización durante el transporte o la transmisión electrónica. Entre estas medidas se incluye el uso de conexiones de servidor seguras certificadas y la limitación del uso compartido de recursos de origen cruzado en todas las API.

Controles de entrada

El Encargado del Tratamiento tomará las medidas razonables para que se pueda verificar y establecer si se introdujeron, modificaron o eliminaron metadatos en los sistemas de tratamiento de datos. El Encargado del Tratamiento debe hacer uso de las mejores prácticas de la industria, en lo sucesivo protocolos criptográficos para la autenticación y el registro de auditorías seguras.

Copia de seguridad de los datos

Las copias de seguridad de las bases de datos del Servicio se realizan de forma regular, están protegidas y se encriptan en reposo para garantizar que los Datos Personales de Usuario estén protegidos contra la pérdida o la destrucción accidental. Instantánea cada 12 horas (AWS). La copia de seguridad cifrada se realiza cada tres días en nuestros servidores.

Nombre:MyScript SAS

Dirección:3 rue de la Rainière 44339, Nantes, France

Contact person’s name, position and contact details:

Emilie Fowell, DPO, legal@myscript.com

Actividades relacionadas con los datos transferidos:Prestación de los Servicios

Función (responsable del tratamiento/encargado del tratamiento):Encargada del tratamiento

3.1 MyScript apps' cloud features

1. Categorías de interesados cuyos datos personales se transfieren:

Puede enviar Datos Personales de Usuario a los Servicios, el alcance de los cuales lo determina y controla exclusivamente Usted.

2. Categorías de datos personales transferidos:

• Unstructured User Personal Data contained in Nebo’ or MyScript Math content sent by You to the Processor through the Service for sharing with MyScript or for storing through MyScript apps’ cloud features.

3. Categorías especiales de datos:

MyScript no recopila ninguna categoría especial de datos (como origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos, salud o vida sexual). No obstante, el contenido de los Datos Personales de Usuario no estructurados, como se describe anteriormente, es desconocido para MyScript.

4. Frecuencia de la transferencia

Los Datos Personales de Usuario no estructurados se transfieren a nuestros Subencargados del tratamiento enumerados en el Anexo 1 y de forma continua en función de la frecuencia con la que Usted utilice el Servicio.

5. Naturaleza del tratamiento

La naturaleza del Tratamiento es la prestación de los Servicios.

6. Propósito(s) de la transferencia de datos y Tratamiento posterior

MyScript tratará los Datos Personales de Usuario según sea necesario para prestar los Servicios que Usted solicite.

7. Plazo durante el que se conservarán los datos personales o, si eso no fuera posible, los criterios utilizados para determinar dicho plazo

Unstructured User Personal Data is transferred to Processor’s servers for as long as You decide to store or share User Personal Data through MyScript apps’ cloud features. If You delete Your MyScript account then all User Personal Data is automatically deleted from all storage points.

8. Para transferencias a (Sub)encargados del Tratamiento, especifique también el objeto, la naturaleza y la duración del Tratamiento

El Subencargado tratará los Datos Personales de Usuario según sea necesario para prestar los Servicios. El Subencargado tratará los Datos Personales de Usuario mientras Usted tenga una cuenta de MyScript, a menos que se acuerde lo contrario por escrito o si Usted ha solicitado una eliminación previa de los Datos Personales de Usuario. Las identidades de los Subencargados utilizados para la prestación de los Servicios y el país en el que se ubican se enumeran en el Anexo 1 de este ATD.

3.2 Funciones de inteligencia artificial generativa de Nebo

1. Categorías de interesados cuyos datos personales se transfieren:

Puede enviar Datos Personales de Usuario a los Servicios, el alcance de los cuales lo determina y controla exclusivamente Usted.

2. Categorías de datos personales transferidos:

• Datos Personales de Usuario no estructurados incluidos en blocs de notas enviados por Usted al Encargado del Tratamiento a través del Servicio con el fin de generar contenido e importarlo en Sus blocs de notas.

3. Categorías especiales de datos:

MyScript no recopila ninguna categoría especial de datos (como origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos, salud o vida sexual). No obstante, el contenido de los Datos Personales de Usuario no estructurados, como se describe anteriormente, es desconocido para MyScript.

4. Frecuencia de la transferencia

Los Datos Personales de Usuario no estructurados se transfieren a nuestros Subencargados del tratamiento enumerados en el Anexo 1 y de forma continua en función de la frecuencia con la que Usted utilice el Servicio.

5. Naturaleza del tratamiento

La naturaleza del Tratamiento es la prestación de los Servicios.

6. Propósito(s) de la transferencia de datos y Tratamiento posterior

MyScript tratará los Datos Personales de Usuario según sea necesario para prestar los Servicios que Usted solicite.

7. Plazo durante el que se conservarán los datos personales o, si eso no fuera posible, los criterios utilizados para determinar dicho plazo

Unstructured User Personal Data is temporarily transferred to Sub-processor’s servers when You include it in a request to generate content through the articifial intelligent features.

8. Para transferencias a (Sub)encargados del Tratamiento, especifique también el objeto, la naturaleza y la duración del Tratamiento

Las identidades de los Subencargados utilizados para la prestación de los Servicios y el país en el que se ubican se enumeran en el Anexo 1 de este ATD. Los Subencargados tratarán los Datos Personales de Usuario según sea necesario para prestar los Servicios. El Subencargado del tratamiento OpenAI mantiene un registro de todas las solicitudes (incluidos los Datos Personales de Usuario) durante 30 días para supervisar la presencia de contenido ilegal y/o abusivo. Transcurrido este tiempo, se elimina. Las solicitudes (incluidos los Datos Personales de Usuario) solo transitan por los servidores de AWS y se eliminan instantáneamente.

3.2 MyScript Cloud recognition through the developer portal

1. Categorías de interesados cuyos datos personales se transfieren:

Puede enviar Datos Personales de Usuario a los Servicios, el alcance de los cuales lo determina y controla exclusivamente Usted.

2. Categorías de datos personales transferidos:

• Datos Personales de Usuario no estructurados incluidos en documentos enviados por Usted al Encargado del Tratamiento a través del Servicio para transformarlos de notas manuscritas en texto de imprenta.
• Dirección IP del Usuario Final.

3. Categorías especiales de datos:

MyScript no recopila ninguna categoría especial de datos (como origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos, salud o vida sexual). No obstante, el contenido de los Datos Personales de Usuario no estructurados, como se describe anteriormente, es desconocido para MyScript.

4. La frecuencia de la transferencia (por ejemplo, si los datos se transfieren una vez o de manera continuada)

Todas las categorías de datos enumeradas arriba se transfieren a nuestros Subencargados del tratamiento enumerados en el Anexo 1 y de forma continua en función del uso el Servicio.

5. Naturaleza del tratamiento

La naturaleza del Tratamiento es la prestación de los Servicios.

6. Propósito(s) de la transferencia de datos y Tratamiento posterior

MyScript tratará los Datos Personales según sea necesario para prestar los Servicios.

7. Plazo durante el que se conservarán los datos personales o, si eso no fuera posible, los criterios utilizados para determinar dicho plazo

Unstructured User Personal Data is transferred to Processor’s servers the time for the Processing to take place, is then returned to the End-User and is not stored by the Processor. IP addresses are kept in log records for 12 months. Unstructured User Personal Data is not stored by the Processor unless specifically & expressly requested by You in writing.

8. Para transferencias a (Sub)encargados del Tratamiento, especifique también el objeto, la naturaleza y la duración del Tratamiento

El Subencargado tratará los Datos Personales de Usuario según sea necesario para prestar los Servicios. El Subencargado tratará los Datos Personales mientras Usted utilice los Servicios, a menos que se acuerde lo contrario por escrito. Las identidades de los Subencargados utilizados para la prestación de los Servicios y el país en el que se ubican se enumeran en el Anexo 1 de este ATD.

Autoridad de Supervisión Competente

La Autoridad de Supervisión Competente que debe ser contactada en caso de reclamación, queja o solicitud es la Commission Nationale des Informations et des Libertés (CNIL) francesa, con la que se puede establecer contacto a través de https://www.cnil.fr/fr/plaintes/.