Anexo de Protección de Datos de Twilio
Última actualización: 9 de abril de 2026
Este Anexo de Protección de Datos (“Anexo”) forma parte de los acuerdos entre el Cliente y Twilio que cubren el uso de los Servicios por parte del Cliente (según se define a continuación) (“Acuerdo”) y rige el uso de los Datos del Cliente (según se define a continuación), y el procesamiento relacionado de los Datos Personales del Cliente (según se define a continuación), por parte de Twilio.
1. Definiciones
“Afiliada” significa cualquier entidad que, directa o indirectamente controla o está controlada por, o está bajo el control común con dicha parte especificada. Para los fines de esta definición, “control” hace referencia a la propiedad directa o indirecta de más del cincuenta por ciento (50 %) de los intereses con derecho a voto de la entidad en cuestión.
“Ley de Protección de Datos Aplicable” significa todas las leyes y los reglamentos aplicables al procesamiento de datos personales por parte de Twilio (según se define a continuación) en virtud del Acuerdo, incluidas las siguientes, entre otras, y según se modifiquen o se sustituyan ocasionalmente:
(a) Australia: Ley de Privacidad de Australia de 1988;
(b) Brasil: Lei Geral de Proteção de Dados (Ley General de Protección de Datos Personales);
(c) Canadá: Ley Federal de Protección de Información Personal y Documentos Electrónicos;
(d) Espacio Económico Europeo: Reglamento General de Protección de Datos de la UE 2016/679 y la Directiva de Privacidad y Comunicaciones Electrónicas 2002/EC/58;
(e) Israel: Ley de Protección de la Privacidad;
(f) Japón: Ley de Protección de la Información Personal;
(g) México: Ley Federal de Protección de Datos Personales en Posesión de Particulares y su Reglamento;
(h) Singapur: Ley de Protección de Datos Personales de 2012;
(i) Suiza: Ley Federal Suiza de Protección de Datos, en su versión revisada;
(j) Reino Unido: Reglamento General de Protección de Datos del Reino Unido, Ley de Protección de Datos de 2018 y Reglamentos de Privacidad y Comunicaciones Electrónicas de 2003; y
(k) Estados Unidos de América: Todas las leyes estatales relacionadas con la protección y el procesamiento de datos personales vigentes en los Estados Unidos de América, que pueden incluir, entre otras, la Parte 202 del título 28 del Código de Regulaciones Federales (Code of Federal Regulations, CFR) (Acceso a Datos Personales Sensibles de los EE. UU. y Datos Relacionados con el Gobierno por parte de Países de Preocupación o Personas Cubiertas), la Ley de Privacidad del Consumidor de California, según lo enmendado por la Ley de Derechos de Privacidad de California, la Ley de Protección de Datos del Consumidor de Virginia, la Ley de Privacidad de Colorado, la Ley de Privacidad de Datos de Connecticut y la Ley de Privacidad del Consumidor de Utah.
“controlador” significa la persona física o jurídica, autoridad pública, agencia u otro organismo que, solos o en conjunto con otros, determina los fines y medios del procesamiento de datos personales o según se define o interpreta de otro modo en virtud de la Ley de Protección de Datos Aplicable.
“Datos de la Cuenta del Cliente” significa los datos personales que se relacionan con la relación del Cliente con Twilio, incluyendo (a) datos de contacto del Cliente (si es una persona física), de individuos o de individuos autorizados por el Cliente para configurar y acceder a la cuenta del Cliente; (b) datos relacionados con la gestión de facturación y el historial de compras; (c) datos personales que Twilio pueda necesitar para administrar la cuenta del Cliente, prestar los Servicios (según se define a continuación) o verificar la identidad de Usuarios Finales (según se define a continuación) con fines de seguridad y verificación, como la información recopilada en relación con el cumplimiento de los requisitos de “Conozca a su Cliente” (Know-Your-Customer, KYC) como parte de la obligación de Twilio de conservar los Registros de Suscriptores (según se define a continuación), y otros requisitos legales aplicables según se describe en este Anexo.
“Contenido del Cliente” significa los datos, incluidos los datos personales, (a) dentro de cualquier contenido de comunicación intercambiada como resultado del uso de los Servicios, como cuerpos de mensajes de texto, voz, sonido, medios de video, imágenes, cuerpos de correo electrónico, líneas de asunto y destinatarios y, cuando corresponda, dentro de cualquier dato (x) que el Cliente envíe a los Servicios desde sus aplicaciones de software designadas u otros productos y servicios o (y) generados para el uso del Cliente como parte de los Servicios y (b) almacenados en nombre del Cliente, tales como (i) contenido de comunicaciones, transcripciones, grabaciones o registros de comunicaciones, dentro de los Servicios o (ii) datos de campañas de marketing que el Cliente haya cargado en los Servicios.
“Datos de Uso de las Comunicaciones” significa los datos, incluidos los datos personales, procesados por Twilio para transmitir, distribuir o intercambiar Contenido del Cliente a través de la red telefónica pública conmutada u otra red de comunicaciones, así como para optimizar y mantener el rendimiento del Servicio, investigar y prevenir el abuso del sistema e identificar el origen de las solicitudes del Servicio, incluyendo (a) metadatos de comunicaciones electrónicas, tales como registros de tráfico y detalles de enrutamiento utilizados para identificar el origen y el destino de una comunicación, tales como información del remitente/destinatario, registros de comunicación de números de teléfono y otros metadatos relacionados con el tipo, la fecha, la hora, la duración y el estado de una comunicación (p. ej., entregada, abierta o rebotado) o (b) datos del dispositivo generados en el contexto de la prestación de los Servicios o del uso de las interfaces de programación de aplicaciones de Twilio, tales como sistemas operativos, detalles del navegador, direcciones IP, identificadores, datos de ubicación general y registros de actividades.
“Datos del Cliente” significa cualquier dato (a) proporcionado por el Cliente o los Usuarios Finales del Cliente a Twilio en relación con el uso de los Servicios por parte del Cliente o (b) generado para el uso del Cliente como parte de los Servicios.
“Datos Personales del Cliente” significa los datos personales, incluidos los Datos Sensibles, dentro de los Datos del Cliente.
“Usuario Final” significa cualquier usuario de los Servicios, incluso a través de cualquier aplicación de software u otros productos y servicios proporcionados por el Cliente y utilizados en relación con el uso de los Servicios por parte del Cliente en virtud del Acuerdo.
“datos personales” significa cualquier dato u otra información relacionada con una persona física identificada o identificable (“sujeto de los datos”) o según se definan o interpreten ambos términos de otro modo en virtud de la Ley de Protección de Datos Aplicable. Una persona física identificable es aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.
“procesador” significa la entidad que procesa datos personales en nombre del controlador o según se define o interpreta de otro modo en virtud de la Ley de Protección de Datos Aplicable.
“procesamiento” (y “proceso”) significa cualquier operación o conjunto de operaciones realizados sobre Datos Personales o conjuntos de datos personales, ya sea por medios automatizados o no, tales como la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta,uso, divulgación por transmisión, difusión o cualquier otra forma de puesta a disposición, alineación o combinación, restricción, borrado o destrucción.
“Incidente de Seguridad” significa una destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito confirmado a los Datos Personales del Cliente, o según se define de otro modo en la Ley de Protección de Datos Aplicable.
“Datos Sensibles” significa (a) el número de seguro social, número de pasaporte, número de licencia de conducir o un identificador similar de un individuo (o cualquier parte de estos); (b) el número de tarjeta de crédito o débito (que no sea el número truncado es decir, los últimos cuatro dígitos), información financiera, números de cuenta bancaria o contraseñas; (c) información laboral, financiera, genética, biométrica o de salud; (d)afiliación racial, étnica, política o religiosa, membresía sindical o información sobre la vida sexual u orientación sexual; (e) contraseñas de cuentas, apellido de soltera de la madre o fecha de nacimiento; (f) antecedentes penales; o (g) cualquier otra información o combinación de información que entre en la definición de “sensible” o “categorías especiales de datos” en virtud de la Ley de Protección de Datos Aplicable.
“Abuso del Servicio” significa cualquier abuso o uso indebido de los Servicios,incluyendo spam, fraude, actividades ilegales o violaciones de la Política de Uso Aceptable de Twilio, cuya versión actual está disponible en https://www.twilio.com/es-mx/legal/aup.
“Servicios” significa los productos, servicios y plataformas proporcionados por Twilio o sus Afiliadas, según corresponda, incluyendo todas las actualizaciones, modificaciones o mejoras de estos, que el Cliente adquiera de conformidad con un formulario de pedido o que utilice de otro modo.
“Registros del Suscriptor” significa los Datos de la cuenta del cliente que contienen el comprobante de identificación y el comprobante de la dirección física necesaria para que Twilio proporcione numeros de telefono al Cliente o a los Usuarios Finales del Cliente en ciertos países.
“subprocesador” significa (a) Twilio y sus Afiliadas, cuando Twilio o su Afiliada procesan Datos Personales del Cliente y el Cliente es un procesador de dichos datos o (b) cualquier procesador externo contratado por Twilio para procesar Datos Personales del Cliente como subprocesador de Twilio con el fin de prestar los Servicios al Cliente. Los proveedores de telecomunicaciones utilizados por Twilio para prestar los Servicios no se consideran subprocesadores.
“Solicitud de Terceros” significa cualquier solicitud, correspondencia, consulta o queja de un sujeto de los datos, autoridad reguladora o tercero.
“Aviso de Privacidad de Twilio” significa el aviso de privacidad aplicable a los Servicios, cuya versión actual está disponible en https://www.twilio.com/legal/privacy.
Cualquier término en mayúscula no definido en esta Sección 1 tendrá el significado previsto en este Anexo o en el Acuerdo, según corresponda. Las referencias en este Anexo a Secciones o Anexos se refieren a las secciones o los adjuntos de este Anexo.
2. Función de Twilio y del Cliente en Relación con los Datos Personales del Cliente. El Cliente y Twilio reconocen y aceptan que (a) Twilio es un procesador o subprocesador (que actúa en nombre del Cliente), excepto cuando Twilio procesa los Datos Personales del Cliente como controlador según se establece en la Sección 3 (Procesamiento de los Datos Personales del Cliente como Controlador) y (b) el Cliente puede actuar como controlador o procesador en nombre de sus Usuarios Finales de los Datos Personales del Cliente. El procesamiento de Twilio de los Datos Personales del Cliente como procesador o subprocesador se establece en la Sección 4 (Procesamiento de los Datos Personales del Cliente como Procesador).
3. Procesamiento de los Datos Personales del Cliente como Controlador
3.1 Twilio como Controlador de los Datos Personales del Cliente. El Cliente y Twilio reconocen y aceptan que Twilio actúa como controlador independiente de los Datos Personales del Cliente:
(a) en la medida necesaria para los fines comerciales legítimos descritos en la Sección 3.2 (Twilio como Controlador de los Datos de la Cuenta del Cliente), la Sección 3.3 (Twilio como Controlador de los Datos de Uso de Comunicaciones) y la Sección 3.4 (Twilio como Controlador del Contenido del Cliente), siempre que dicho procesamiento esté de acuerdo con el Acuerdo, el Aviso de Privacidad de Twilio y la ley o regulación aplicable, incluida la Ley de Protección de Datos Aplicable;
(b) según lo permita la Ley de Protección de Datos Aplicable y de conformidad con este Anexo, el Acuerdo y el Aviso de Privacidad de Twilio; y
(c) según lo autorice o solicite el Cliente, incluso según lo acordado en términos específicos del Servicio o el uso y la configuración por parte del Cliente de ciertas características de los Servicios.
El Cliente y Twilio tendrán cada uno todos los derechos y obligaciones con respecto a los Datos Personales del Cliente como controladores independientes de los Datos Personales del Cliente, no como controladores conjuntos.
3.2 Twilio como Controlador de los Datos de la Cuenta del Cliente. El Cliente y Twilio reconocen y aceptan que Twilio es un controlador independiente de los Datos de la Cuenta del Cliente que procesa, para lo siguiente:
(a) gestionar la facturación, la cuenta del Cliente y la relación de Twilio con el Cliente, incluyendo los procesos de “Conozca a su Cliente” (Know-Your-Customer, KYC) y la verificación de identidad requerida para acceder o utilizar los Servicios;
(b) llevar a cabo las operaciones comerciales principales de Twilio, tales como contabilidad, auditoría y declaración de impuestos;
(c) prevenir, detectar o investigar incidentes de seguridad y gestionar la seguridad de la plataforma y los servicios de Twilio;
(d) prevenir, detectar o investigar el Abuso del Servicio, a través del desarrollo o la mejora de las herramientas internas de Twilio y el entrenamiento de modelos relacionado para tales fines, o para ayudar a los proveedores de telecomunicaciones, reguladores o agencias de cumplimiento de la ley en la lucha contra el spam, el fraude o las actividades ilegales;
(e) realizar análisis de negocios, informes internos, informes financieros, previsión de capacidad y planificación de ingresos, y estrategia de productos;
(f) desarrollar y mejorar nuevos productos y servicios y mejorar el rendimiento, la funcionalidad, la seguridad y la protección de los Servicios; y
(g) cumplir con las obligaciones legales y regulatorias de Twilio, incluyendo, sin limitación, el mantenimiento de los Registros de Suscriptores.
3.3 Twilio como Controlador de los Datos de Uso de Comunicaciones. El Cliente y Twilio reconocen y aceptan que Twilio es un controlador independiente de los Datos de Uso de Comunicaciones que procesa para lo siguiente:
(a) llevar a cabo las funciones necesarias como proveedor de servicios de comunicaciones electrónicas, tales como (i) para fines contables, fiscales, de facturación, de auditoría y de cumplimiento normativo de Twilio; (ii) para prestar, optimizar y mantener los Servicios; y (iii) para prevenir, detectar o investigar incidentes de seguridad y gestionar la seguridad de la plataforma y los servicios de Twilio;
(b) prevenir, detectar o investigar el Abuso del Servicio, incluso a través del desarrollo o la mejora de las herramientas internas de Twilio el entrenamiento de modelos relacionados para tales fines, o para ayudar a los proveedores de telecomunicaciones, reguladores o agencias de cumplimiento de la ley en la lucha contra el spam, el fraude o las actividades ilegales;
(c) cumplir con las obligaciones legales y regulatorias de Twilio, incluyendo, sin limitación, el mantenimiento de los Registros del Suscriptores, los códigos de conducta de la industria de las comunicaciones y los compromisos contractuales con los proveedores de telecomunicaciones;
(d) desarrollar y mejorar nuevos productos y servicios y mejorar el rendimiento, la funcionalidad, la seguridad y la protección de los Servicios; y
(e) anonimizar, desidentificar o agregar Datos de Uso de Comunicaciones de tal manera que no identifiquen al Cliente, a los Usuarios Finales del cliente ni a ningún sujeto de los datos.
3.4 Twilio como Controlador del Contenido del Cliente. El Cliente y Twilio reconocen y aceptan que Twilio es un controlador independiente del Contenido del Cliente, el cual procesa en la medida necesaria, para lo siguiente:
(a) prevenir, detectar o investigar incidentes de seguridad y gestionar la seguridad de la plataforma y los servicios de Twilio;
(b) prevenir, detectar o investigar el Abuso del Servicio, a través del desarrollo o la mejora de las herramientas internas de Twilio y el entrenamiento de modelos relacionados para tales fines, o para ayudar a los proveedores de telecomunicaciones, reguladores o agencias de cumplimiento de la ley en la lucha contra el spam, el fraude o las actividades ilegales;
(c) cumplir con las obligaciones legales y regulatorias de Twilio, incluyendo, sin limites, el mantenimiento de los Registros del Suscriptores, los códigos de conducta de la industria de las comunicaciones y los compromisos contractuales con los proveedores de telecomunicaciones;
(d) desarrollar y mejorar nuevos productos y servicios y mejorar el rendimiento, la funcionalidad, la seguridad y la protección de los Servicios;
(e) realizar análisis de negocios, informes internos, informes financieros, previsión de capacidad y planificación de ingresos, y estrategia de productos; y
(f) según lo autorice o solicite el Cliente, incluso según lo acordado en términos específicos del Servicio o el uso y la configuración por parte del Cliente de ciertas funciones de los Servicios.
3.5 Métodos de Minimización de Datos y Preservación de la Privacidad. Cuando sea razonablemente necesario, Twilio aplicará las medidas adecuadas para minimizar, anonimizar, desidentificar, seudonimizar y/o agregar los Datos Personales del Cliente utilizados para los fines anteriores en las Secciones 3.1 (Twilio como Controlador de los Datos Personales del Cliente) a 3.4 (Twilio como Controlador del Contenido del Cliente) de tal manera que dichos datos (a) no identifiquen al Cliente, a los Usuarios Finales del Cliente ni a ningún sujeto de los datos y (b) no constituyan datos personales en virtud de la Ley de Protección de Datos Aplicable.
3.6 Datos Anonimizados, Desidentificados y Agregados. Los Datos Personales del Cliente que sean anonimizados, desidentificados o agregados por Twilio de conformidad con la Sección 3.5 (Métodos de Minimización de Datos y Preservación de la Privacidad) o el Acuerdo no están sujetos a este Anexo; sin embargo, queda entendido que Twilio no reidentificará, ni intentará reidentificar, los Datos Personales del Cliente.
4. Procesamiento de los Datos Personales del Cliente como Procesador
4.1 Twilio como Procesador de los Datos Personales del Cliente. El Cliente y Twilio aceptan que Twilio procesará los Datos Personales del Cliente como procesador o subprocesador, en lugar de como controlador, excepto como se establece en la Sección 3 (Procesamiento de los Datos Personales del Cliente como Controlador). Como procesador o subprocesador, Twilio procesará los Datos Personales del Cliente de acuerdo con las instrucciones del Cliente, según se establece en la Sección 4.2 (Instrucciones del Cliente), cualquier término que el Cliente haya aceptado para ciertos Servicios o mediante el uso y la configuración por parte del Cliente de ciertas funciones dentro de los Servicios.
4.2 Instrucciones del Cliente. Salvo que se establezca lo contrario en la Sección 3 (Procesamiento de los Datos Personales del Cliente como Controlador), el Cliente designa a Twilio como procesador o subprocesador para procesar los Datos Personales del Cliente en nombre de, y de conformidad con, las instrucciones del Cliente, y de acuerdo con estas, según se establece en el Acuerdo, este Anexo (incluyendo el Anexo 1 (Detalles del Procesamiento)), y según sea necesario para prestar los Servicios al Cliente, lo cual incluye proporcionar recomendaciones o demostraciones de otros productos, servicios o funciones de Twilio al Cliente.
4.3 Legalidad de las Instrucciones. El Cliente se asegurará de que sus instrucciones para procesar los Datos Personales del Cliente cumplan con la Ley de Protección de Datos Aplicable. Si el Cliente es un procesador de Datos Personales del Cliente, el Cliente se asegurará de que el nombramiento de Twilio como subprocesador, así como sus instrucciones, hayan sido autorizados por el controlador pertinente. El Cliente reconoce que Twilio no es responsable de determinar qué leyes o reglamentos son aplicables al negocio del Cliente, ni de si la prestación de los Servicios por parte de Twilio cumple, o cumplirá, con los requisitos de dichas leyes o reglamentos. El Cliente se asegurará de que el procesamiento de los Datos Personales del Cliente por parte de Twilio, cuando se realice de acuerdo con las instrucciones del Cliente, no causara que Twilio viole ninguna ley o reglamento aplicable, incluida la Ley de Protección de Datos Aplicable. Twilio informará al Cliente si llega a tener conocimiento, o cree razonablemente, que las instrucciones del Cliente violan cualquier ley o reglamento aplicable, incluida la Ley de Protección de Datos Aplicable.
4.4 Instrucciones Adicionales. Las instrucciones adicionales para el procesamiento de los Datos Personales del Cliente que se encuentren fuera del alcance del Acuerdo y este Anexo se acordarán por escrito entre el Cliente y Twilio, incluyendo cualquier tarifa adicional que el Cliente deba pagar a Twilio para llevar a cabo dichas instrucciones adicionales.
5. Confidencialidad
5.1 Respuesta a Solicitudes de Terceros. En caso de que se realice una Solicitud de Terceros directamente a Twilio en relación con el procesamiento de los Datos Personales del Cliente por parte de Twilio como procesador o subprocesador, Twilio informará de inmediato al Cliente y proporcionará los detalles de dicha Solicitud de Terceros, en la medida en que lo permita la ley. Twilio no responderá a ninguna Solicitud de Terceros sin el consentimiento previo del Cliente, a menos que Twilio esté legalmente obligado a hacerlo o a confirmar que dicha Solicitud de Terceros se relaciona con el Cliente. Cuando corresponda, Twilio (a) cumplirá con sus directrices para el cumplimento de la ley, cuya versión actual está disponible en https://www.twilio.com/legal/law-enforcement-guidelines, y (b) limitará cualquier Dato Personal del Cliente proporcionado como parte de una Solicitud de Terceros al mínimo necesario y estrictamente para el propósito requerido de dicha Solicitud de Terceros.
5.2 Registros de Suscriptores. Cuando lo exijan las leyes o regulaciones aplicables, los Registros de los Suscriptores se comparten con proveedores de telecomunicaciones locales, que proporcionan servicios de conectividad local, o con las autoridades gubernamentales locales. Información adicional sobre estos requisitos regulatorios está disponible en https://www.twilio.com/guidelines/regulatory.
5.3 Obligaciones de Confidencialidad del Personal de Twilio. Twilio se asegurará de que cualquier persona que autorice para procesar los Datos Personales del Cliente haya aceptado proteger los Datos Personales del Cliente de acuerdo con las obligaciones de confidencialidad de Twilio establecidas en el Acuerdo.
6. Subprocesadores
6.1 Autorización para el Subprocesamiento. Por el presente, el Cliente proporciona una autorización general para que Twilio contrate a subprocesadores de terceros para el procesamiento posterior de los Datos Personales del Cliente que Twilio procesa como procesador o subprocesador, sujeto a los siguientes requisitos:
(a) Twilio restringirá el acceso y el procesamiento de los Datos Personales del Cliente por parte de sus subprocesadores únicamente a lo que sea estrictamente necesario para prestar los Servicios;
(b) Twilio acepta imponer obligaciones contractuales de protección de datos a sus subprocesadores, incluyendo medidas técnicas y organizativas adecuadas, diseñadas para proteger los Datos Personales del Cliente de acuerdo con el estándar exigido en virtud de la Ley de Protección de Datos Aplicable, incluyendo, sin limitación, los requisitos establecidos en el Anexo 4 4 (Términos Específicos de California); y
(c) Twilio seguirá siendo responsable de cualquier incumplimiento de este Anexo que sea causado por un acto, error u omisión de sus subprocesadores.
6.2 Subprocesadores Actuales y Notificación de Cambios de Subprocesadores. Twilio mantiene una lista actualizada de sus subprocesadores disponible en https://www.twilio.com/legal/sub-processors, la cual contiene un mecanismo para que el Cliente se suscriba a notificaciones de nuevos subprocesadores o a la sustitución de subprocesadores existentes. Si el Cliente se suscribe a dichas notificaciones, Twilio proporcionará detalles de cualquier cambio en sus subprocesadores tan pronto como sea razonablemente factible. Con respecto a cualquier cambio en los proveedores de infraestructura de los Servicios, Twilio proporcionará una notificación por escrito al Cliente tan pronto como sea razonablemente factible, pero no menos de treinta (30) días antes de dicho cambio. Con respecto a cualquier cambio en los subprocesadores de Twilio que no sean proveedores de infraestructura de los Servicios, Twilio proporcionará un aviso por escrito al Cliente tan pronto como sea razonablemente factible, pero no menos de diez (10) días antes de dicho cambio.
6.3 Derecho de Objeción para los Subprocesadores. El Cliente podrá oponerse a la designación de un nuevo subprocesador o la sustitución de uno existente por parte de Twilio durante el periodo de notificación aplicable establecido de la Sección 6.2 (Subprocesadores Actuales y Notificación de Cambios del Subprocesador), siempre que dicha objeción se realice por escrito y se base en motivos razonables relacionados con la protección de datos. En tal caso, el Cliente y Twilio acuerdan discutir de buena fe soluciones alternativas comercialmente razonables. Si el Cliente y Twilio no pueden llegar a una resolución dentro del período de notificación aplicable establecido en la Sección 6.2 (Subprocesadores Actuales y Notificación de Cambios del Subprocesador), el Cliente puede interrumpir el uso de los Servicios afectados mediante notificación por escrito a Twilio.Cualquier interrupción del uso de los Servicios afectados será sin perjuicio de las tarifas incurridas por el Cliente antes de dicha interrupción. Si el Cliente no ha planteado ninguna objeción antes del vencimiento del período de notificación aplicable establecido en la Sección 6.2 (Subprocesadores Actuales y Notificación de Cambios del Subprocesador), Twilio considerará que el Cliente ha autorizado al nuevo subprocesador o subprocesador actualizado, según corresponda.
7. Derechos de los Sujetos de los Datos. Twilio proporciona al Cliente una serie de funciones de autoservicio a través de los Servicios para eliminar, obtener una copia de, o restringir el uso de los Datos Personales del Cliente para los cuales Twilio es un procesador o subprocesador. El Cliente puede utilizar estas funciones de autoservicio para ayudar en el cumplimiento de sus obligaciones en virtud de la Ley de Protección de Datos Aplicable con respecto a la respuesta a las Solicitudes de Terceros de los sujetos de los datos a través de los Servicios sin costo adicional. A solicitud por escrito del Cliente, Twilio proporcionará asistencia razonable, adicional y oportuna al Cliente para cumplir con sus obligaciones de protección de datos con respecto a los derechos de los sujetos de los datos en virtud de la Ley de Protección de Datos Aplicable en la medida en que el Cliente no tenga la capacidad de resolver una Solicitud de Terceros de un sujeto de los datos a través de las funciones de autoservicio disponibles a través de los Servicios.
8. Evaluaciones de Impacto y Consultas. Cuando Twilio procesa Datos Personales del Cliente como procesador o subprocesador, Twilio proporcionará cooperación razonable al Cliente en relación con cualquier evaluación del impacto relativa a la protección de datos (a expensas del Cliente solo si dicha cooperación razonable requerirá que Twilio asigne recursos significativos a tal esfuerzo) o consulta con cualquier autoridad regulatoria que pueda ser requerida en virtud de la Ley de Protección de Datos Aplicable.
9. Devolución o Eliminación de Datos Personales del Cliente. Cuando Twilio procese los Datos Personales del Cliente como procesador o subprocesador, Twilio eliminará o devolverá al Cliente, de conformidad con la Sección 6 (Duración del Procesamiento) del Anexo 1 (Detalles del Procesamiento), los Datos personales del cliente almacenados dentro de los Servicios.
9.1 Extensión del Anexo. Tras la terminacion del Acuerdo, Twilio podrá continuar conservando y almacenando los Datos Personales del Cliente durante los períodos de tiempo establecidos en el Anexo 1 (Detalles del Procesamiento), siempre que Twilio garantice que los Datos Personales del Cliente se procesen únicamente según sea necesario para los fines establecidos en el Anexo 1 (Detalles del Procesamiento) y permanezcan protegidos de acuerdo con los términos del Acuerdo, este Anexo y la Ley de Protección de Datos Aplicable.
9.2 Retención Requerida por Ley. Sin perjuicio de cualquier disposición en contrario en esta Sección 9, Twilio puede conservar los Datos Personales del Cliente, o cualquier parte de ellos, si así lo exige la ley o regulación aplicable, incluida la Ley de Protección de Datos Aplicable, siempre que dichos Datos Personales del Cliente permanezcan protegidos de acuerdo con los términos del Acuerdo, este Anexo y la Ley de Protección de Datos Aplicable.
10. Seguridad
10.1 Medidas de Seguridad. Twilio ha implementado y mantendrá las medidas de seguridad técnicas y organizativas establecidas en el Acuerdo diseñadas para proteger los Datos del Cliente, incluidos los Datos Personales del Cliente. La información adicional sobre las medidas de seguridad técnicas y organizativas de Twilio se establece en el Anexo 2 (Medidas de seguridad técnicas y organizativas).
10.2 Determinación de los Requisitos de Seguridad. El Cliente reconoce que los Servicios incluyen ciertas características y funcionalidades que el Cliente puede elegir utilizar que afectan la seguridad de los Datos del Cliente procesados como resultado del uso de los Servicios por parte del Cliente, incluyendo, sin limitación, el cifrado de grabaciones de voz, la disponibilidad de autenticación de múltiples factores en la cuenta del Cliente o el cifrado opcional de Seguridad de la Capa de Transporte (Transport Layer Security, TLS). El Cliente es responsable de revisar la información que Twilio pone a disposición con respecto a la seguridad de sus datos, incluidos sus informes de auditoría, y de realizar una determinación independiente con respecto a si los Servicios cumplen con los requisitos y las obligaciones legales del Cliente, incluidas sus obligaciones en virtud de la Ley de Protección de Datos Aplicable. El Cliente es además responsable de configurar adecuadamente los Servicios y de utilizar las características y funcionalidades que Twilio pone a disposición para mantener la seguridad adecuada en vista de la naturaleza de los Datos del Cliente procesados como resultado del uso de los Servicios por parte del Cliente.
10.3 Notificación de Incidentes de Seguridad. Twilio notificará un Incidente de Seguridad de la siguiente manera:
(a) Twilio notificará al Cliente sobre cualquier Incidente de Seguridad que involucre Datos Personales del Cliente que Twilio procese como procesador o subprocesador, sin demora indebida, después de que Twilio descubra dicho Incidente de Seguridad;
(b) Twilio, en la medida permitida y requerida por la ley o reglamentación aplicable, incluida la Ley de Protección de Datos Aplicable, notificará al Cliente, sin demora indebida, sobre cualquier Incidente de Seguridad que involucre Datos Personales del Cliente de los cuales Twilio sea controlador; y
(c) Twilio notificará al Cliente sobre cualquier Incidente de Seguridad a través de correo electrónico enviado a la(s) dirección(es) de correo electrónico designada(s) por el Cliente en su cuenta.
Twilio proporcionará asistencia razonable al Cliente en caso de que el Cliente esté obligado en virtud de la Ley de Protección de Datos Aplicable a notificar a una autoridad reguladora o a cualquier sujeto de los datos afectado por un Incidente de Seguridad.
11. Auditorías. El Cliente tendrá los siguientes derechos de auditoría cuando Twilio actúe como procesador o subprocesador de los Datos Personales del Cliente.
11.1 Programa de Auditoría de Twilio. Twilio utiliza auditores externos para verificar la idoneidad de sus medidas de seguridad técnicas y organizativas con respecto al procesamiento de los Datos Personales del Cliente cuando Twilio actúa como procesador o subprocesador. Las auditorías se realizan al menos una vez por año calendario, a cargo de Twilio, por profesionales de seguridad externos e independientes seleccionados por Twilio, y dan como resultado la generación de un informe de auditoría confidencial (“Informe de Auditoría”). Previa solicitud por escrito del Cliente, a intervalos razonables, y sujeto a controles de confidencialidad razonables, Twilio pondrá a disposición del Cliente una copia resumida del Informe de Auditoría más reciente de Twilio.Adicionalmente, no más de una vez por año calendario, Twilio proporcionará respuestas por escrito, de forma confidencial, a las solicitudes razonables de información del Cliente realizadas por escrito que sea necesarias para confirmar el cumplimiento de Twilio con este Anexo relacionado con el procesamiento de los Datos Personales del Cliente por parte de Twilio como procesador o subprocesador.
11.2 Auditoría del Cliente. El Cliente acepta que solo cuando no se puedan satisfacer razonablemente los derechos de auditoría requeridos por la Ley de Protección de Datos Aplicable mediante el ejercicio de los derechos establecidos en la Sección 11.1 (Programa de Auditoría de Twilio), el Cliente, o sus representantes autorizados, pueden realizar una auditoría (cada una, una “Auditoría del Cliente”), durante la vigencia del Acuerdo, para evaluar el cumplimiento de Twilio con los términos de este Anexo. En la medida en que el Cliente y Twilio determinen que el ejercicio de los derechos establecidos en la Sección 11.1 (Programa de Auditoría de Twilio) no satisface los derechos de auditoría requeridos en virtud de la Ley de Protección de Datos Aplicable, el Cliente acordará un plan de auditoría de común acuerdo con Twilio que incluya lo siguiente:
(a) requiera el uso de un auditor tercero independiente;
(b) requiera que el Cliente proporcione una notificación previa por escrito y razonable a Twilio con respecto al ejercicio de su derecho en virtud de esta Sección 11.2 para una Auditoría del Cliente;
(c) limite el acceso del Cliente a las instalaciones administradas por Twilio y al personal de Twilio únicamente durante el horario laboral habitual;
(d) requiera que el Cliente pague las tarifas de Twilio vigentes en ese momento para asistir con una Auditoría del Cliente;
(e) limite la realización de una Auditoría del Cliente a no más de una vez por año calendario;
(f) restrinja los hallazgos de la Auditoría del Cliente unicamente a los Datos Personales del Cliente que sean relevantes para el Cliente, cuando Twilio sea un procesador o subprocesador; y
(g) obligue al Cliente, en la medida permitida por la ley o reglamentación, a mantener la confidencialidad de cualquier información recopilada en relación con una Auditoría del Cliente que, por su naturaleza, debería ser confidencial.
12. Disposiciones Internacionales
12.1 Términos Específicos de California. En la medida en que Twilio procese información personal, según lo define la Ley de Privacidad del Consumidor de California (California Consumer Privacy Act, CCPA), Código Civil de California § 1798.100 y siguientes del Código, según lo enmendado por la Ley de Derechos de Privacidad de California y su reglamento de implementación (colectivamente, “CCPA”), se aplicarán los términos establecidos en el Anexo 4 (Términos Específicos de California).
12.2 Mecanismos de Transferencia Transfronteriza de Datos. En la medida en que el uso de los Servicios por parte del Cliente requiera un mecanismo de transferencia posterior para transferir legalmente datos personales desde una jurisdicción (p. ej., el Espacio Económico Europeo, el Reino Unido, Suiza, Guernsey y Jersey) a las operaciones de Twilio ubicadas fuera de dicha jurisdicción (“Mecanismos de Transferencia”), se aplicarán los términos establecidos en el Anexo 3 (Mecanismos de Transferencia Transfronteriza de Datos).
13. Disposiciones Varias
13.1 Cumplimiento. El Cliente es responsable de garantizar que (a) ha cumplido, y seguirá cumpliendo, con la Ley de Protección de Datos Aplicable en su uso de los Servicios y en su propio procesamiento de datos personales y (b) tiene, y seguirá teniendo, el derecho de transferir o proporcionar acceso a, los datos personales a Twilio para procesamiento de acuerdo con los términos del Acuerdo y este Anexo.
13.2 Conflicto. En caso de culaquier conflicto o inconsistencia entre los siguientes documentos, el orden de precedencia será el siguiente: (1) los Mecanismos de Transferencia; (2) los términos aplicables establecidos en el Anexo 4 (Términos Específicos de California); (3) los términos de este Anexo fuera del Anexo 4 (Términos Específicos de California); (4) el Acuerdo; y (5) el Aviso de Privacidad de Twilio. Cualquier reclamo presentado en relación con este Anexo estará sujeto a los términos, incluidos, sin limitación, las exclusiones y limitaciones, establecidos en el Acuerdo.
13.3 Acuerdo Completo. Este Anexo sustituye los términos de protección de datos o los términos relacionados con el procesamiento de datos personales acordados previamente entre el Cliente y Twilio.
13.4 Actualizaciones. Twilio podrá actualizar los términos de este Anexo periódicamente mediante notificación por escrito al Cliente con al menos treinta (30) días de antelación. Los términos vigentes de este Anexo están disponibles en https://www.twilio.com/es-mx/legal/data-protection-addendum.
Anexo 1
Detalles del Procesamiento
Cuando corresponda, este Anexo 1 servirá como Anexo 1 de las Cláusulas Contractuales Estándar de la UE, del Acuerdo Internacional de Transferencia de Datos del Reino Unido y de las Cláusulas Contractuales Estándar de Brasil (cada uno de los cuales se define en el Anexo 3 (Mecanismos de Transferencia Transfronteriza de Datos)).
1. Categorías de Sujetos de los Datos. Usuarios Finales del Cliente y consumidores finales del Cliente.
2. Categorías de Datos Personales del Cliente. Datos de la Cuenta del Cliente, Datos de Uso de Comunicaciones, y Contenido del Cliente.
3. Datos Sensibles o Categorías Especiales de Datos. El Contenido del Cliente puede constituir Datos Sensibles en virtud de la Ley de Protección de Datos Aplicable y,ocasionalmente, el Contenido del cliente puede incluir Datos Sensibles que se procesarán a través de los Servicios cuando el Cliente o los Usuarios Finales del Cliente opten por incluir Datos Sensibles dentro del Contenido del Cliente. El Cliente es responsable de garantizar que se implementen las protecciones adecuadas antes de transmitir o procesar, o antes de permitir que los Usuarios Finales del Cliente transmitan o procesen, cualquier Dato Sensible a través de los Servicios.
4. Frecuencia de la Transferencia: Continua
5. Naturaleza y Propósito del Procesamiento. Los Datos Personales del Cliente estarán sujetos a las siguientes actividades básicas de procesamiento:
Twilio, como procesador o subprocesador, procesará los Datos Personales del Cliente de acuerdo con las instrucciones del Cliente, según se establece en la Sección 4.2 (Instrucciones del Cliente). Como controlador, Twilio procesará los Datos Personales del Cliente según sea necesario para llevar a cabo sus fines comerciales legítimos establecidos en la Sección 3 (Procesamiento de los Datos Personales del Cliente como Controlador).
6. Duración del Procesamiento. El período durante el cual Twilio conservará los datos personales y los criterios utilizados para determinar dicho período son los siguientes:
Cuando Twilio actúe como procesador o subprocesador, los Datos Personales del Cliente se conservarán durante el tiempo que sea necesario para cumplir con los fines para los cuales Twilio recopiló y/o recibió dichos datos personales, según se establece en la Sección 6.1 y la Sección 6.2 de este Anexo 1, y según se establezca de otro modo en la documentación de retención y eliminación de datos para los Servicios disponibles en https://help.twilio.com/articles/4410585868443 y https://segment.com/docs/privacy/account-deletion.
6.1 Servicios. Antes de la finalización del Acuerdo, (a) Twilio procesará el Contenido del Cliente almacenado para los fines establecidos en la Sección 4.2 (Instrucciones del Cliente) hasta que el Cliente decida eliminar dicho Contenido del Cliente a través de los Servicios y (b) el Cliente acepta que es el único responsable de eliminar el Contenido del Cliente a través de los Servicios. Salvo lo establecido en la Sección 6.2 (Servicios de SendGrid) de este Anexo 1, tras la terminacion del Acuerdo, Twilio (i) proporcionará al Cliente treinta (30) días después de la fecha de entrada en vigor de la terminación para obtener una copia de cualquier Contenido del cliente almacenado a través de los Servicios; (ii) eliminará automáticamente cualquier Contenido del Cliente almacenado treinta (30) días después de la fecha de entrada en vigor de la terminación; y (iii) eliminará automáticamente cualquier Contenido del Cliente almacenado en los sistemas de respaldo de Twilio sesenta (60) días después de la fechade entrada en vigor de la terminación. Cualquier Contenido del Cliente archivado en los sistemas de respaldo de Twilio se aislará de forma segura y se protegerá de cualquier procesamiento posterior, excepto que la ley o reglamentación aplicable,incluida la Ley de Protección de Datos Aplicable.
6.2 Servicios de SendGrid. Tras la terminación del Acuerdo, Twilio (a) a elección del Cliente, eliminará o devolverá al Cliente cualquier Contenido del Cliente (incluidas copias) almacenado en cualquier servicio e interfaz de programación de aplicaciones bajo la marca “SendGrid” o “Twilio SendGrid” (colectivamente, “Servicios de SendGrid”) y (b) eliminará automáticamente cualquier Contenido del Cliente almacenado en los Servicios de SendGrid en los sistemas de respaldo de Twilio un (1) año después de la fecha de entrada en vigor de la terminación.
Cuando Twilio actúe como controlador, los Datos Personales del Cliente se conservarán durante el tiempo que sea necesario para cumplir con los fines para los cuales Twilio recopiló y/o recibió dichos datos personales y de acuerdo con las políticas de retención de datos de Twilio.
Anexo 2
Medidas de Seguridad Técnicas y Organizativas
El texto completo de las medidas de seguridad técnicas y organizativas de Twilio para proteger los Datos del Cliente, incluidos los Datos Personales del Cliente, está disponible en https://www.twilio.com/es-mx/legal/security-overview (“Descripción General de Seguridad”). La Política de Normas Corporativas Vinculantes para Procesadores de Twilio está disponible en https://www.twilio.com/en-us/legal/bcr/processor.
Cuando corresponda, este Anexo 2 servirá como Anexo II de las Cláusulas Contractuales Estándar de la UE, Tabla 3 del Acuerdo Internacional de Transferencia de Datos del Reino Unido, y las medidas de seguridad requeridas en virtud de las Cláusulas Contractuales Estándar de Brasil.
En caso de conflicto o inconsistencia entre la Descripción General de Seguridad y cualquier término relacionado con la seguridad establecido en el Acuerdo, prevalecerán los términos relacionados con la seguridad establecidos en el Acuerdo.
La siguiente tabla proporciona más información sobre las medidas de seguridad técnicas y organizativas de Twilio.
|
Medida de Seguridad Técnica y Organizativa |
Evidencia de la Medida de Seguridad Técnica y Organizativa |
|---|---|
|
Medidas de seudonimización y cifrado de datos personales |
Consulte la Sección 12 (Cifrado) de la Descripción General de Seguridad |
|
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento |
Consulte la Sección 16 (Resiliencia y Continuidad del Servicio) y la Sección 17 (Copias de Seguridad de Datos del Cliente) de la Descripción General de Seguridad |
|
Medidas para garantizar la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico |
Consulte la Sección 16 (Resiliencia y Continuidad del Servicio) y la Sección 17 (Copias de Seguridad de Datos del Cliente) de la Descripción General de seguridad |
|
Procesos para probar, evaluar y valorar regularmente la efectividad de las medidas técnicas y organizativas a fin de garantizar la seguridad del procesamiento |
Consulte la Sección 3 (Organización y Programa de Seguridad), la Sección 7 (Certificaciones y Atestaciones de Seguridad) y la Sección 14 (Pruebas de Penetración) de la Descripción General de Seguridad |
|
Medidas para la identificación y autorización del usuario |
Consulte la Sección 10 (Controles de Acceso) de la Descripción General de Seguridad |
|
Medidas para la protección de datos durante la transmisión |
Consulte la Sección 12 (Cifrado) y la Sección 17 (Copias de Seguridad de Datos del Cliente) de la Descripción General de Seguridad |
|
Medidas para la protección de datos durante el almacenamiento |
Consulte la Sección 8 (Arquitectura de Hosting y Segregación de Datos) y la Sección 12 (Cifrado) de la Descripción General de Seguridad |
|
Medidas para garantizar la seguridad física de las ubicaciones en las que se procesan los datos personales |
Consulte la Sección 5 (Seguridad Física) de la Descripción General de Seguridad |
|
Medidas para garantizar el registro de eventos (logging) |
|
|
Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada |
|
|
Medidas para la gobernanza y la gestión interna de Tecnologías de la Información (TI) y seguridad de TI |
Consulte la Sección 3 (Organización y Programa de Seguridad) de la Descripción General de Seguridad |
|
Medidas para la certificación/aseguramiento de procesos y productos |
Consulte la Sección 3 (Organización y Programa de Seguridad) y la Sección 7 (Certificaciones y Atestaciones de Seguridad) de la Descripción General de Seguridad |
|
Medidas para garantizar la calidad de los datos y la minimización de datos |
Cuando Twilio actúe como procesador de los Datos Personales del Cliente y en función de las instrucciones del Cliente, Twilio ayudará al Cliente a cumplir con su obligación de mantener los datos personales precisos y actualizados. Cuando el Cliente informe a Twilio que los Datos Personales del Cliente que Twilio procesa en su nombre son inexactos, Twilio ayudará al Cliente a actualizar, corregir o borrar dichos datos sin demora indebida. Twilio también tomará medidas para informar a los miembros de su grupo o a los procesadores de terceros a quienes se les hayan divulgado dichos datos sobre la necesidad de actualizar, corregir o borrar dichos datos personales. |
|
Medidas para garantizar la retención limitada de datos |
Cuando Twilio actúe como procesador de los Datos Personales del Cliente y en función de las instrucciones del Cliente, Twilio ayudará al Cliente a almacenar los Datos Personales del Cliente solo durante el tiempo que sea necesario para el propósito para el cual se recopilaron inicialmente dichos datos. Cuando el Cliente le indique a Twilio que los Datos Personales del Cliente que Twilio procesa en su nombre ya no son necesarios, Twilio ayudará al Cliente a borrar, restringir o anonimizar dichos datos sin demora indebida y de acuerdo con los términos del Acuerdo. Twilio también tomará medidas para informar a los miembros de su grupo o a los procesadores de terceros a quienes se les hayan divulgado dichos datos sobre la necesidad de borrar, restringir o anonimizar esos datos personales.
|
|
Medidas para garantizar la responsabilidad |
Twilio ha adoptado Normas Corporativas Vinculantes (Binding Corporate Rules, BCR) que rigen el manejo, el procesamiento y la transferencia a nivel global de datos personales dentro de Twilio. |
|
Medidas para permitir la portabilidad de datos y garantizar la eliminación |
El Cliente puede exportar o eliminar el Contenido del Cliente utilizando las funciones de autoservicio de los Servicios, según se establece en la documentación aplicable para los Servicios disponibles en https://www.twilio.com/docs. Para ver un ejemplo de las características de autoservicio de portabilidad de datos, consulte: https://support.twilio.com/hc/en-us/articles/223183588-Exporting-SMS-and-Call-Logs. Para ver un ejemplo de las características de autoservicio de portabilidad de datos, consulte: https://docs.sendgrid.com/ui/managing-contacts/create-and-manage-contacts#export-contacts. Para ver un ejemplo de las características de autoservicio de eliminación de datos, consulte: Para ver un ejemplo de las características de autoservicio de eliminación de datos, consulte: https://www.twilio.com/docs/sendgrid/api-reference/contacts/delete-contacts. |
|
Medidas que deben tomar por terceros subprocesadores |
Cuando Twilio contrata a un subprocesador en virtud de la Sección 6.1 (Autorización para el Subprocesamiento), Twilio y el subprocesador celebran un acuerdo con obligaciones de protección de datos sustancialmente similares a las establecidas en este Anexo. Cada acuerdo de subprocesador debe garantizar que Twilio pueda cumplir con sus obligaciones con el Cliente. Además de implementar medidas técnicas y organizativas para proteger los datos personales, los subprocesadores deben (a) notificar a Twilio en caso de un Incidente de Seguridad, para que Twilio pueda notificar al Cliente; (b) eliminar datos personales cuando Twilio lo indique de acuerdo con las instrucciones del Cliente a Twilio; (c) no contratar subprocesadores adicionales sin la autorización de Twilio; (d) no cambiar la ubicación donde se procesan los datos personales; o (e) no procesar datos personales de una manera que entre en conflicto con las instrucciones del Cliente para Twilio. |
Anexo 3
Mecanismos de Transferencia Transfronteriza de Datos
1. Definiciones
“Servicios de BCR” significa todos los Servicios, excepto los Servicios de SendGrid y las Ofertas Beta Privadas (según se define a continuación).
“Cláusulas Contractuales Estándar de Brasil” significa la Cláusula Contractual Estándar contenida en el Anexo II de la Resolución CD/ANPD N.º 19/2024, del 23 de agosto de 2024.
“Marco de Privacidad de Datos” significa el programa de autocertificación del Marco de Privacidad de Datos UE-EE. UU. y/o Suiza-EE. UU. operado por el Departamento de Comercio de los EE. UU.
“Principios de Privacidad de Datos” significa los principios del Marco de Privacidad de Datos (complementados por los Principios Suplementarios).
“EEE” significa Espacio Económico Europeo.
“Cláusulas Contractuales Estándar de la UE” significa las Cláusulas Contractuales Estándar aprobadas por la Comisión Europea en la decisión 2021/914.
“Ofertas Beta Privadas” significa ciertos Servicios que se identifican como alfa, beta, no disponibles para el público en general, de lanzamiento limitado, de vista previa del desarrollador o cualquier Servicio similar que, en todos los casos anteriores, solo se ponen a disposición de un número limitado de clientes por invitación de manerano público o en un asunto privado.
“BCR de Twilio” significa las Normas Corporativas Vinculantes (Binding Corporate Rules, BCR) de Twilio según se establece en https://www.twilio.com/legal/binding-corporate-rules.
“Certificaciones Globales CBPR y Globales PRP de Twilio” significa la certificación de Twilio en virtud del Sistema de Normas de Privacidad Transfronteriza Global (Global Cross-Border Privacy Rules, CBPR) (“Global CBPR”) y el Sistema de Reconocimiento de Privacidad para Procesadores Global (Global Privacy Recognition for Processors, PRP) (“Global PRPs”), tal como se registra en el directorio disponible en https://www.globalcbpr.org.
“Acuerdo Internacional de Transferencia de Datos del Reino Unido” significa el Anexo de Transferencia Internacional de Datos a las Cláusulas Contractuales Estándar de la Comisión de la UE emitidas por el Comisionado de Información del Reino Unido, versión B1.0, en vigencia desde el 21 de marzo de 2022.
2. Mecanismos de Transferencia Transfronteriza de Datos
2.1 Orden de Precedencia. En caso de que los Servicios estén cubiertos por más de un mecanismo de transferencia, la transferencia de datos personales estará sujeta a un único mecanismo de transferencia. Estos mecanismos de transferencia se aplicarán en el siguiente orden de precedencia, según se establece en este Anexo 3: (a) el Marco de Privacidad de Datos (Sección 2.2); (b) las BCR de Twilio (Sección 2.3); (c) las Cláusulas Contractuales Estándar de la UE (Sección 2.4); (d) el Acuerdo Internacional de Transferencia de Datos del Reino Unido (Sección 2.5); (e) las Cláusulas Contractuales Estándar de Brasil (Sección 2.7); (f) las Certificaciones Globales de CBPR o Globales PRP de Twilio (Sección 2.8); o (g) si no se aplica ninguna de las anteriores, cualquier otro mecanismo de transferencia de datos permitido en virtud de la Ley de Protección de Datos Aplicable.
2.2 Marco de Privacidad de Datos. En la medida en que Twilio Inc. procese cualquier dato personal a través de los Servicios que se originen en el EEE, Suiza o el Reino Unido, Twilio declara que Twilio Inc. está autocertificado en virtud del Marco de Privacidad de Datos UE-EE. UU., la Extensión del Reino Unido al Marco de Privacidad de Datos UE-EE. UU. y el Marco de Privacidad de Datos Suiza-EE. UU., y que cumple con los Principios de Privacidad de Datos cuando procesa dichos datos personales. En la medida en que el Cliente (a) se encuentre en los Estados Unidos de América y esté autocertificado en virtud del Marco de Privacidad de Datos o (b) se encuentre en el EEE, Suiza y el Reino Unido, Twilio además acepta (i) proporcionar al menos el mismo nivel de protección a cualquier dato personal que el requerido por los Principios de Privacidad de Datos; (ii) notificar al Cliente por escrito, sin demora indebida, si su autocertificación para el Marco de Privacidad de Datos es retirada, terminada, revocada o invalidada de otro modo (en cuyo caso, se aplicará un Mecanismo de Transferencia alternativo de acuerdo con el orden de precedencia en la Sección 2.1 (Orden de precedencia) de este Adjunto 3); y (iii) mediante notificación por escrito, trabajar con el Cliente para tomar medidas razonables y apropiadas para detener y remediar cualquier procesamiento no autorizado de datos personales.
2.3 BCR de Twilio. Twilio procesará los datos personales dentro de los Servicios de BCR de acuerdo con las BCR de Twilio. El Cliente y Twilio aceptan que, con respecto a los Servicios de BCR, las BCR de Twilio serán el mecanismo legal de transferencia de los Datos Personales del Cliente desde el EEE o Suiza a (a) Twilio en los Estados Unidos de América o (b) cualquier otra entidad de Twilio fuera del EEE. Para evitar dudas, las BCR de Twilio no sirven como mecanismo de transferencia para los Servicios de SendGrid o las Ofertas Beta Privadas.
2.4 Cláusulas Contractuales Estándar de la UE. Las Cláusulas Contractuales Estándar de la UE se aplicarán a los datos personales que se transfieran a través de los Servicios desde el EEE, Suiza, Guernsey o Jersey, ya sea directamente o mediante transferencia posterior, a cualquier país o destinatario fuera del EEE, Suiza, Guernsey o Jersey que no (a) sea reconocido por la autoridad competente pertinente como proveedor de un nivel adecuado de protección para los datos personales y (b) esté cubierto por las BCR de Twilio. Para las transferencias de datos que estén sujetas a las Cláusulas Contractuales Estándar de la UE, las Cláusulas Contractuales Estándar de la UE se considerarán suscritas e incorporadas en este Anexo mediante esta referencia, y se completarán de la siguiente manera:
(a) el Módulo Uno (Controlador a Controlador) de las Cláusulas contractuales Estándar de la UE se aplicará cuando (i) Twilio esté procesando Datos de la Cuenta del Cliente y Datos de Uso de Comunicaciones y (ii) el Cliente sea un controlador de los Datos Personales del Cliente, y Twilio procese los Datos Personales del Cliente de conformidad con la Sección 3 (Procesamiento de Datos Personales del Cliente como Controlador);
(b) el Módulo Dos (Controlador a Procesador) de las Cláusulas Contractuales Estándar de la UE se aplicará cuando el Cliente sea un controlador de los Datos Personales del Cliente, y Twilio procese los Datos Personales del Cliente de conformidad con la Sección 4 (Procesamiento de Datos Personales del Cliente como Procesador); y
(c) el Módulo Tres (Procesador a Procesador) de las Cláusulas Contractuales Estándar de la UE se aplicará cuando el Cliente sea un procesador de los Datos Personales del Cliente, y Twilio procese los Datos Personales del Cliente de conformidad con la Sección 4 (Procesamiento de Datos Personales del Cliente como Procesador);
(d) Para cada Módulo, cuando corresponda:
(i) en la Cláusula 7 de las Cláusulas Contractuales Estándar de la UE, no se aplicará la cláusula de acoplamiento opcional;
(ii) en la Cláusula 9 de las Cláusulas Contractuales Estándar de la UE, se aplicará la Opción 2 y el período para la notificación previa por escrito de los cambios del subprocesador será el establecido en la Sección 6.2 (Subprocesadores Actuales y Notificación de Cambios del Subprocesador);
(iii) en la Cláusula 11 de las Cláusulas Contractuales Estándar de la UE, no se aplicará el texto opcional;
(iv) en la Cláusula 17 (Opción 1), las Cláusulas Contractuales Estándar de la UE se regirán por la ley irlandesa;
(v) en la Cláusula 18(b) de las Cláusulas Contractuales Estándar de la UE, las disputas se resolverán ante los tribunales de Irlanda;
(vi) en el Anexo I, Parte A de las Cláusulas Contractuales Estándar de la UE:
Exportador de Datos: Cliente
Detalles de contacto: La(s) dirección(es) de correo electrónico designada(s) por el Cliente en la cuenta del Cliente a través de sus preferencias de notificación.
Función del Exportador de Datos: La función del Exportador de Datos se establece en la Sección 3 (Procesamiento de Datos Personales del Cliente como Controlador) y la Sección 4 (Procesamiento de Datos Personales del Cliente como Procesador), según corresponda.
Firma y Fecha: Al celebrar el Acuerdo, se considera que el Exportador de datos ha firmado estas Cláusulas Contractuales Tipo de la UE incorporadas en el presente, incluidos sus Anexos, a partir de la fecha de entrada en vigor del Acuerdo.
Importador de Datos: Twilio Inc.
Detalles de contacto: Privacidad de Twilio - privacy@twilio.com
Función del Importador de Datos: La función del Importador de datos se establece en la Sección 3 (Procesamiento de Datos personales del cliente como Controlador) y la Sección 4 (Procesamiento de Datos personales del cliente como Procesador), según corresponda.
Firma y fecha: Al celebrar el Acuerdo, se considera que el Importador de datos ha firmado estas Cláusulas Contractuales Tipo de la UE incorporadas en el presente, incluidos sus Anexos, a partir de la fecha de entrada en vigencia del Acuerdo;
(vii) en el Anexo I, Parte B de las Cláusulas Contractuales Estándar de la UE:
Las categorías de sujetos de datos se establecen en la Sección 1 (Categorías de Interesados) del Anexo 1 (Detalles del Procesamiento).
Los Datos Sensibles transferidos se establecen en la Sección 3 (Datos Confidenciales o Categorías Especiales de Datos) del Anexo 1 (Detalles del Procesamiento).
La frecuencia de la transferencia es de forma continua durante la duración del Acuerdo.
La naturaleza y el propósito del procesamiento se establecen en la Sección 5 (Naturaleza y Propósito del Procesamiento) del Anexo 1 (Detalles del Procesamiento).
El período durante el cual se conservarán los datos personales se establece en la Sección 6 (Duración del Procesamiento) del Anexo 1 (Detalles del Procesamiento).
En el caso de las transferencias a subprocesadores, el objeto, la naturaleza y la duración del procesamiento se establecen en https://www.twilio.com/legal/sub-processors;
(viii) en el Anexo I, Parte C de las Cláusulas Contractuales Estándar de la UE: La Comisión Irlandesa de Protección de Datos será la autoridad supervisora competente; y
(ix) El Adjunto 2 (Medidas de Seguridad Técnicas y Organizativas) sirve como Anexo II de las Cláusulas Contractuales Estándar de la UE.
2.5 Acuerdo Internacional de Transferencia de Datos del Reino Unido. El Cliente y Twilio aceptan que el Acuerdo Internacional de Transferencia de Datos del Reino Unido se aplicará a los datos personales que se transfieran a través de los Servicios desde el Reino Unido, ya sea directamente o a través de una transferencia posterior, a cualquier país o destinatario fuera del Reino Unido que no (a) sea reconocido por la autoridad reguladora competente del Reino Unido u organismo gubernamental competente del Reino Unido como que proporciona un nivel adecuado de protección para los datos personales y (b) esté cubierto por las BCR de Twilio. En el caso de las transferencias de datos desde el Reino Unido que estén sujetas al Acuerdo Internacional de Transferencia de Datos del Reino Unido, el Acuerdo Internacional de Transferencia de Datos del Reino Unido se considerará suscrito e incorporado en este Anexo mediante esta referencia, y se completará de la siguiente manera:
(a) En la Tabla 1 del Acuerdo Internacional de Transferencia de Datos del Reino Unido, los detalles y la información de contactos clave del Cliente y Twilio se establecen en la Sección 2.4(d)(vi) de este Adjunto 3;
(b) En la Tabla 2 del Acuerdo Internacional de Transferencia de Datos del Reino Unido, la información sobre la versión de las Cláusulas Contractuales Estándar (Standard Contractual Clauses, SCC) de la UE aprobadas, los módulos y las cláusulas seleccionadas, a las que se adjunta el Acuerdo Internacional de Transferencia de Datos del Reino Unido, se establece en la Sección 2.4 (Cláusulas Contractuales Estándar de la UE) de este Adjunto 3;
(c) En la Tabla 3 del Acuerdo Internacional de Transferencia de Datos del Reino Unido:
(i) La lista de las Partes se establece en la Sección 2.4(d)(vi) de este Anexo 3.
(ii) La descripción de la transferencia se establece en la Sección 5 (Naturaleza y Propósito del Procesamiento) del Anexo 1 (Detalles del Procesamiento).
(iii) El Anexo II se encuentra en el Adjunto 2 (Medidas de seguridad técnicas y organizativas).
(iv) La lista de subprocesadores está disponible en https://www.twilio.com/legal/sub-processors; y
(d) En la Tabla 4 del Acuerdo Internacional de Transferencia de Datos del Reino Unido, tanto el Importador como el Exportador podran finalizar el Acuerdo Internacional de Transferencia de Datos del Reino Unido de acuerdo con los términos del Acuerdo Internacional de Transferencia de Datos del Reino Unido.
2.6 Aplicación de las Cláusulas Contractuales Estándar de la UE. Las Cláusulas Contractuales Estándar de la UE se aplican a todos los Datos Personales del Cliente que se transfieren desde, o a los que se accede de forma remota, desde fuera de cualquier país cuyas leyes o reglamentos de protección de datos requieran un medio adecuado para la transferencia o el acceso internacional. Los medios de adecuación requeridos pueden cumplirse al celebrar las Cláusulas Contractuales Estándar de la UE, ya sea directamente o mediante transferencia posterior a cualquier país o destinatario, en cada caso, donde dicha transferencia o acceso estuviera prohibido en virtud de la Ley de Protección de Datos Aplicable en ausencia de las Cláusulas Contractuales Estándar de la UE. Las Cláusulas Contractuales Estándar de la UE deben modificarse ligeramente (p. ej., en terminos de la terminología) para garantizar que la totalidad de este Anexo se aplique a todas las partes, independientemente de la ubicación de las partes, ya sea dentro o fuera del EEE, Suiza, Guernsey o Jersey. Sin embargo, dichas modificaciones no se aplican a las transferencias de datos regidas por las leyes o reglamentos de protección de datos del EEE, Suiza, Guernsey o Jersey.
2.7 Aplicación de las Cláusulas Contractuales Estándar de Brasil. Las Cláusulas Contractuales Estándar de Brasil se aplicarán a los datos personales que se transfieran a través de los Servicios desde Brasil, ya sea directamente o a través de una transferencia posterior, a cualquier tercer país o territorio, o a cualquier destinatario ubicado en un tercer país o territorio, (a) sujeto a una determinación de adecuación por parte de la Autoridad Brasileña de Protección de Datos (“ANPD”) o (b) según lo previsto de otro modo por un mecanismo de transferencia reconocido o aprobado por la ANPD que proporcione salvaguardas adecuadas para los datos personales de acuerdo con el Artículo 33 de la Lei Geral de Proteção de Dados (Ley General de Protección de Datos Personales). Para las transferencias de datos que estén sujetas a las Cláusulas Contractuales Estándar de Brasil, las Cláusulas Contractuales Estándar de Brasil se considerarán suscritas e incorporadas en este Anexo mediante esta referencia, y se completarán de la siguiente manera:
(i) La Cláusula 2 de las Cláusulas Contractuales Estándar de Brasil se cumple con la información establecida en la Sección 2.4(d)(vi) de este Anexo 3, que describe la transferencia de datos;
(ii) En la Cláusula 3 de las Cláusulas Contractuales Estándar de Brasil, se aplicará la OPCIÓN B, con transferencias posteriores permitidas de acuerdo con la Sección 6 (Subprocesadores) de este Anexo. El objeto, la naturaleza y la duración del procesamiento se establecen en https://www.twilio.com/legal/sub-processors;
(iii) La Cláusula 4 de las Cláusulas Contractuales Estándar de Brasil se cumple con la información establecida en la Sección 2.4(d)(vi) de este Anexo 3. Cuando Twilio sea un controlador, será la “Parte Designada”, según se define en las Cláusulas Contractuales Estándar de Brasil, y a los efectos de la Cláusula 14 (Transparencia), la Cláusula 15 (Derechos del Interesado) y la Cláusula 16 (Informe de Incidentes) de las Cláusulas Contractuales Estándar de Brasil. El Cliente sigue siendo responsable del cumplimiento de la Cláusula 14 (Transparencia), la Cláusula 15 (Derechos del Interesado) y la Cláusula 16 (Informe de Incidentes) de las Cláusulas Contractuales Estándar de Brasil para cualquier dato personal del que de otro modo pueda ser controlador;
(iv) En la Cláusula 9 de las Cláusulas Contractuales Estándar de Brasil, no se aplicará la cláusula de acoplamiento opcional; y
(v) La Sección III (Medidas de Seguridad) de las Cláusulas Contractuales Estándar de Brasil se considerará completada con la información establecida en el Anexo 2 (Medidas de Seguridad Técnicas y Organizativas).
2.8 Aplicación de las Normas de Privacidad Transfronteriza Global. El programa de privacidad de Twilio ha sido certificado en virtud del sistema Global CBPR y Global PRP, que son certificaciones de privacidad de datos respaldadas por el gobierno que demuestran el cumplimiento de protecciones de privacidad de datos reconocidas internacionalmente. Twilio procesará los datos personales transferidos de una economía participante del sistema Global CBPRa Twilio de acuerdo con las Certificaciones Globales de la CBPR y Globales PRP de Twilio, en la medida en que corresponda.
2.9 Conflicto. En caso de cualquier conflicto o inconsistencia entre (a) las Cláusulas Contractuales Estándar de la UE, el Acuerdo Internacional de Transferencia de Datos del Reino Unido o las Cláusulas Contractuales Estándar de Brasil, según corresponda; (b) cualquier otro término de este Anexo, incluido el Anexo 4 (Términos Específicos de California); (c) el Acuerdo; o (d) el Aviso de Privacidad de Twilio, prevalecerán las Cláusulas Contractuales Estándar de la UE, el Acuerdo Internacional de Transferencia de Datos del Reino Unido o las Cláusulas Contractuales Estándar de Brasil, según corresponda.
Anexo 4
Términos Específicos de California
1. Twilio es una “negocio” independiente que procesa los Datos Personales del Cliente sujetos a la CCPA como controlador de conformidad con la Sección 3 (Procesamiento de los Datos Personales del Cliente como Controlador).
2. Los siguientes términos se aplican cuando Twilio procesa los Datos Personales del Cliente sujetos a la CCPA como procesador de conformidad con la Sección 4 (Procesamiento de los Datos Personales del Cliente como Procesador) y actúa como un “proveedor de servicios”:
(a) El término “información personal”, tal como se utiliza en este Anexo 4, tendrá el significado dispuesto en la CCPA;
(b) Twilio procesará cualquier información personal dentro de los Datos Personales del Cliente unicamente para los fines comerciales establecidos en el Acuerdo, incluido el propósito del procesamiento y las actividades de procesamiento establecidas en este Anexo (“Propósito”). Cuando actúe como proveedor de servicios, Twilio no venderá ni compartirá información personal dentro de los Datos Personales del Cliente ni conservará, utilizará o divulgará dichos datos (a) para ningún fin que no sea el Propósito, lo que incluye conservar, utilizar o divulgar los datos para un fin comercial que no sea el Propósito, o según lo permita la CCPA o (b) fuera de la relación comercial directa entre el Cliente y Twilio;
(c) Twilio (a) cumplirá con las obligaciones aplicables cuando actúe como proveedor de servicios en virtud de la CCPA y (b) proporcionará información personal con el mismo nivel de protección de la privacidad que se requiere en virtud de la CCPA. El Cliente es responsable de garantizar que ha cumplido y continuará cumpliendo con los requisitos de la CCPA en su uso de los Servicios y su propio procesamiento de información personal;
(d) El Cliente tendrá derecho a tomar medidas razonables y apropiadas para ayudar a garantizar que Twilio utilice la información personal de manera coherente con las obligaciones del Cliente en virtud de la CCPA;
(e) Twilio notificará al Cliente si determina que ya no puede cumplir con sus obligaciones como proveedor de servicios en virtud de la CCPA;
(f) Previa notificación, el Cliente tendrá derecho a tomar medidas razonables y apropiadas de conformidad con el Acuerdo para detener y corregir el uso no autorizado de la información personal;
(g) Twilio proporcionará asistencia adicional razonable y oportuna para ayudar al Cliente a cumplir con sus obligaciones con respecto a las solicitudes de los consumidores según se establece en el Acuerdo;
(h) Para cualquier subprocesador utilizado por Twilio para procesar información personal sujeta a la CCPA, Twilio se asegurará de que el acuerdo de Twilio con dicho subprocesador cumpla con la CCPA, incluyendo, sin limitación, los requisitos contractuales para proveedores de servicios y contratistas;
(i) Twilio no combinará los Datos Personales del Cliente que reciba del Cliente, o en nombre de este, con la información personal que reciba de otra persona o personas, o en nombre de estas, o que recopile de su propia interacción con el consumidor, a menos que dicha combinación sea necesaria para llevar a cabo cualquier propósito comercial según lo permitido en virtud de la CCPA, incluida cualquier reglamentación al respecto, o por las reglamentaciones adoptadas por la Agencia de Protección de la Privacidad de California; y
(j) Twilio certifica que comprende y cumplirá con sus obligaciones en virtud de la CCPA.
3. Twilio reconoce y confirma que no recibe información personal dentro de los Datos Personales del Cliente como contraprestación por los Servicios prestados al Cliente.