Anexo de privacidad de datos Superhuman

Para los clientes de Superhuman Labs LLC que aceptaron el DPA antes del 29 de octubre de 2025, consulte la versión en inglés del DPA aquí, a menos que haya sido reemplazado por otra.

Esta traducción fue generada con inteligencia artificial y puede contener errores. Se proporciona únicamente para su conveniencia. La versión en inglés es la oficial y la que prevalecerá en caso de cualquier discrepancia.

Fecha de entrada en vigor: 29 de octubre de 2025.

Este Anexo de Privacidad de Datos (« Anexo ») se incorpora y está sujeto a los términos y condiciones de la versión actual de cualquier acuerdo (« Acuerdo ») entre usted (« Cliente ») y Superhuman Platform Inc. (« Superhuman ») (cada una, una « Parte » y, en conjunto, las « Partes ») que rija el uso de los Servicios por parte del Cliente.

Todos los términos en mayúscula que no se definan en este Anexo tendrán el significado establecido en el Acuerdo. Este Anexo refleja el acuerdo de las Partes con respecto a los términos que rigen el tratamiento de los datos personales contenidos en los Datos del Cliente (« Datos Personales del Cliente ») por parte de Superhuman y protegidos por la Legislación de Privacidad de Datos aplicable.

En caso de conflicto o inconsistencia entre los términos del Acuerdo principal y este Anexo, los términos de este Anexo prevalecerán sobre el Acuerdo y cualquier otro documento contractual asociado entre las Partes, en la medida de dicho conflicto. Las Partes acuerdan lo siguiente:

1. Definiciones.

A los efectos del presente Anexo:

a. « Legislación aplicable en materia de privacidad de datos » se refiere a las leyes o reglamentos nacionales, federales, estatales, provinciales o de otra índole en materia de privacidad, seguridad de datos y protección de datos aplicables al tratamiento de los datos personales del cliente, incluyendo, entre otros y según corresponda: (i) la legislación estadounidense en materia de privacidad de datos y (ii) la legislación europea en materia de privacidad de datos, en cada caso, según se modifiquen o sustituyan periódicamente.

b. «Marco de privacidad de datos» se refiere al Marco de privacidad de datos UE-EE. UU., al Marco de privacidad de datos Suiza-EE. UU. y a los programas de autocertificación de la extensión del Reino Unido al Marco de privacidad de datos UE-EE. UU. (según corresponda), gestionados por el Departamento de Comercio de los Estados Unidos; según se modifiquen, sustituyan o reemplacen. «Principios del Marco de privacidad de datos» se refiere a los Principios y Principios Suplementarios contenidos en el Marco de privacidad de datos pertinente.

c. «Legislación europea en materia de privacidad de datos» se refiere, según corresponda al tratamiento de los datos personales del cliente: (i) el Reglamento General de Protección de Datos (UE) 2016/679 (« RGPD »); (ii) el RGPD, incorporado al derecho del Reino Unido en virtud del artículo 3 de la Ley de Retirada de la Unión Europea de 2018 («Legislación británica sobre protección de datos»); y (iii) en lo que respecta a Suiza, la Ley Federal de Protección de Datos de 19 de junio de 1992 y sus Ordenanzas («Ley suiza de protección de datos»).

d. «Europa» significa, a efectos del presente Anexo, la Unión Europea, Islandia, Liechtenstein, Noruega, Suiza y el Reino Unido.

e. «Cláusulas contractuales tipo de la UE» significa las cláusulas contractuales tipo para la transferencia de datos personales a terceros países de conformidad con el RGPD entre (i) responsables y encargados del tratamiento o (según lo requieran las circunstancias) (ii) encargados del tratamiento entre sí, en cada caso, según lo aprobado por la Decisión de Ejecución (UE) 2021/914 de la Comisión Europea, de 4 de junio de 2021, y sin incluir las cláusulas marcadas como opcionales.

f. «Incidente de seguridad de datos» significa una vulneración de la seguridad de Superhuman que conlleva la adquisición, destrucción, pérdida, alteración o divulgación no autorizada, ya sea accidental o ilícita, de los Datos Personales del Cliente transmitidos, almacenados o procesados de cualquier otra forma por Superhuman en relación con la prestación del Servicio, o el acceso a dichos datos. «Incidente de seguridad de datos» no incluye intentos fallidos ni actividades que no comprometan la seguridad de los Datos Personales del Cliente, como intentos de inicio de sesión fallidos, pings, escaneos de puertos, ataques de denegación de servicio y otros ataques a cortafuegos o sistemas en red.

g. «Cláusulas contractuales estándar» significa, según corresponda, las Cláusulas Contractuales Estándar de la UE o del Reino Unido.

h. «Subencargado del tratamiento»Se entiende por subencargado del tratamiento un procesador contratado por Superhuman o sus filiales para ayudar a prestar los Servicios de conformidad con el Contrato o este Anexo. Los subencargados del tratamiento pueden incluir a terceros o filiales de Superhuman, pero excluyen a cualquier empleado, contratista o consultor de Superhuman.

i. «Leyes de privacidad de datos de Estados Unidos» se refiere a la Ley de Privacidad del Consumidor de California, la Ley de Privacidad de Colorado, la Ley de Connecticut sobre Privacidad de Datos Personales y Monitoreo en Línea, la Ley de Privacidad del Consumidor de Utah y la Ley de Protección de Datos del Consumidor de Virginia, así como cualquier otra ley de privacidad promulgada por un estado de EE. UU., en cada caso según sus posibles modificaciones y junto con la normativa de aplicación aplicable, que brinden protección general de la privacidad a los consumidores y distingan entre responsables y encargados del tratamiento.

j. «Cláusulas Contractuales Tipo del Reino Unido» se refiere a las Cláusulas Contractuales Tipo de la UE junto con el Anexo de Transferencia Internacional de Datos (versión B1.0) aprobado por el Comisionado de Información del Reino Unido.

k. Los términos «responsable del tratamiento» , «interesado» , «datos personales» , « tratamiento » y «encargado del tratamiento» tendrán el significado que se les atribuye en la legislación aplicable en materia de protección de datos e incluyen los términos « empresa » , «consumidor» , «información personal» y «proveedor de servicios» . Los términos «finalidad empresarial» , «finalidad comercial» , «vender» y «compartir» tendrán el significado que se les atribuye en la legislación estadounidense sobre protección de datos.

2. Alcance y finalidades del tratamiento.

a. Este Anexo se aplica en la medida en que Superhuman, como encargado del tratamiento o proveedor de servicios (según corresponda), procese datos personales del Cliente protegidos por la legislación aplicable en materia de protección de datos. Superhuman solo procesará los datos personales del Cliente según lo establecido en este Anexo y en cumplimiento de la legislación aplicable en materia de protección de datos.

b. Las Partes reconocen y aceptan que el Cliente actúa como responsable o encargado del tratamiento de sus datos personales, y Superhuman los procesará únicamente como encargado del tratamiento en nombre del Cliente, tal como se describe en el Anexo A (Descripción del tratamiento de datos) de este Anexo. Si el Cliente actúa como encargado del tratamiento, deberá (i) cumplir con las obligaciones de Superhuman frente a los responsables del tratamiento del Cliente en virtud de este Anexo, incluidas, cuando corresponda, las cláusulas contractuales tipo, y (ii) garantizar que todo tratamiento de datos realizado en virtud de este Anexo refleje las instrucciones documentadas emitidas por el responsable último del tratamiento de dichos datos.

c. El Cliente instruye a Superhuman para que procese sus Datos Personales de conformidad con el Contrato (incluido este Anexo) y únicamente para los siguientes fines:

(i) proporcionar , proteger y supervisar el/los Servicio(s) de conformidad con el Contrato;
(ii) realizar las actividades de procesamiento iniciadas por el Cliente al usar el Servicio (por ejemplo, a través de una consola administrativa); y
(iii) cumplir con otras instrucciones razonables proporcionadas por el Cliente que sean coherentes con los términos del Contrato y este Anexo.
Por consiguiente, el procesamiento por parte de Superhuman se lleva a cabo con fines comerciales, lo que incluye la prestación de servicios en nombre del Cliente, contribuir a garantizar la seguridad e integridad, depurar y corregir errores.

d. Sin perjuicio de la Sección 3 (Responsabilidades del Cliente), Superhuman notificará inmediatamente al Cliente por escrito, salvo que la legislación aplicable lo prohíba, si tiene conocimiento o cree que alguna instrucción de procesamiento del Cliente infringe la legislación europea y la legislación británica sobre protección de datos.

3. Responsabilidades del cliente.

a. El Cliente será el único responsable de la exactitud, calidad y legalidad de sus Datos Personales y de los medios por los que los obtuvo.

b. El Cliente declara y garantiza que cumplirá con sus obligaciones relativas al tratamiento de sus Datos Personales conforme a la Legislación Aplicable en materia de Protección de Datos, incluyendo que: (i) ha proporcionado, y seguirá proporcionando, todos los avisos y ha obtenido, y seguirá obteniendo, todos los consentimientos, permisos y derechos necesarios conforme a la legislación aplicable, incluyendo la Legislación Aplicable en materia de Protección de Datos, para que Superhuman pueda tratar legalmente sus Datos Personales para los fines previstos en el Contrato (incluido este Anexo); (ii) ha cumplido con toda la legislación aplicable, incluyendo la Legislación Aplicable en materia de Protección de Datos, en la recopilación y entrega a Superhuman de dichos Datos Personales; y (iii) garantizará que sus instrucciones de tratamiento cumplan con la legislación aplicable (incluida la Legislación Aplicable en materia de Protección de Datos) y que el tratamiento de los Datos Personales del Cliente por parte de Superhuman, de conformidad con las instrucciones del Cliente, no supondrá un incumplimiento por parte de Superhuman de la Legislación Aplicable en materia de Protección de Datos.

c. Si el Cliente cree razonablemente que Superhuman está realizando un procesamiento no autorizado de sus datos personales, el Cliente notificará inmediatamente a Superhuman dicha creencia, y las Partes colaborarán de buena fe para remediar las actividades de procesamiento supuestamente infractoras, si fuera necesario.

4. Responsabilidades Superhumans.

a. Superhuman se compromete a:

i. No vender ni compartir los Datos Personales del Cliente.

ii. No procesar los Datos Personales del Cliente para ningún fin distinto a los fines específicos aquí establecidos. Para evitar dudas, Superhuman no procesará los Datos Personales del Cliente fuera de la relación comercial directa entre el Cliente y Superhuman.

iii. No combinar los Datos Personales del Cliente con información recibida de otra fuente o en su nombre, ni con información recopilada de las interacciones del Procesador con un Interesado, salvo en la medida en que dicha combinación esté permitida por la Legislación de Protección de Datos Aplicable.

iv. Con respecto al procesamiento de los Datos Personales del Cliente, Superhuman cumple con la Legislación de Protección de Datos Aplicable y, cuando dicha Legislación lo exija a los procesadores, proporciona el mismo nivel de protección de la privacidad que el exigido al Cliente.

v. Notificar al Cliente si, en opinión de Superhuman, no puede cumplir con sus obligaciones conforme a la Legislación de Protección de Datos Aplicable.

5. Derechos del interesado y cooperación.

a. Superhuman notificará de inmediato al Cliente sobre: (i) cualquier tercero o persona (p. ej., en nombre del Cliente); o (ii) cualquier solicitud de acceso o información sobre los Datos Personales del Cliente por parte de un gobierno o titular de los datos, realizada por Superhuman en nombre del Cliente (en adelante, una «Comunicación»), salvo que lo prohíban las leyes de protección de datos aplicables. En caso de que Superhuman reciba dicha Comunicación directamente, no responderá, excepto en los casos que sean pertinentes (p. ej., para indicar al titular de los datos que se ponga en contacto con el Cliente) o cuando así lo exija la ley, sin la autorización previa del Cliente. El Cliente será responsable de responder a cualquier solicitud de este tipo, incluso, cuando sea necesario, mediante el uso de las funcionalidades de los Servicios.

b. Superhuman proporcionará la asistencia y cooperación razonables y legalmente exigidas para que el Cliente pueda cumplir con sus obligaciones en virtud de las leyes de protección de datos aplicables. Previa solicitud por escrito del Cliente, esto incluye, en la medida en que el Cliente no pueda responder a la Comunicación utilizando las funcionalidades de los Servicios, la cooperación razonable para ayudarle a responder a las Comunicaciones, teniendo en cuenta la naturaleza del Tratamiento.

c. En la medida en que lo exijan las leyes de protección de datos aplicables, y teniendo en cuenta la naturaleza del tratamiento y la información de que disponga Superhuman, esta prestará al Cliente la asistencia razonable necesaria para llevar a cabo una evaluación de impacto relativa a la protección de datos o una consulta previa con las autoridades de control, según lo requieran dichas leyes. Superhuman cumplirá con lo anterior mediante: (i) el cumplimiento de la Sección 10 (Auditorías); (ii) el suministro de la información contenida en el Contrato, incluido este Anexo; y (iii) si los apartados (i) y (ii) anteriores resultaran insuficientes para que el Cliente cumpliera con dichas obligaciones, prestará, previa solicitud, asistencia razonable adicional (a cargo del Cliente).

6. Seguridad de los datos.

a. Superhuman se compromete a: (i) implementar, según lo estipulado en el Anexo B, medidas administrativas, técnicas, físicas y organizativas apropiadas y razonables para proteger los Datos Personales del Cliente frente a Incidentes de Seguridad y para preservar la seguridad y confidencialidad de dichos datos («Medidas de Seguridad»); y (ii) garantizar que los empleados, contratistas y subencargados autorizados para tratar los Datos Personales del Cliente estén sujetos a una obligación de confidencialidad adecuada (ya sea legal o contractual).

b. El Cliente es responsable de revisar la información proporcionada por Superhuman en relación con la seguridad de los datos y de determinar de forma independiente si las Medidas de Seguridad aplicables al Servicio cumplen con sus requisitos y obligaciones legales conforme a la legislación aplicable en materia de protección de datos. El Cliente reconoce que las Medidas de Seguridad están sujetas a avances y desarrollos técnicos y que Superhuman podrá actualizarlas o modificarlas periódicamente, siempre que dichas actualizaciones y modificaciones no menoscaben la seguridad general del Servicio prestado al Cliente.

c. Sin perjuicio de lo anterior, el Cliente acepta que, salvo lo dispuesto en este Anexo, es responsable del uso seguro del Servicio, incluyendo la protección de sus credenciales de autenticación de cuenta, la protección de la seguridad de los Datos del Cliente durante su transmisión hacia y desde el Servicio, y la adopción de las medidas apropiadas para cifrar o realizar copias de seguridad de forma segura de cualquier Dato del Cliente cargado al Servicio.

7. Incidente de seguridad de datos.

a. Al tener conocimiento de un Incidente de Seguridad de Datos, Superhuman: (i) notificará al Cliente de inmediato y sin demora indebida; (ii) proporcionará información oportuna sobre el Incidente de Seguridad de Datos tan pronto como se conozca o cuando el Cliente lo solicite razonablemente; y (iii) tomará de inmediato las medidas razonables para contener e investigar cualquier Incidente de Seguridad de Datos.

b. La notificación o respuesta de Superhuman a un Incidente de Seguridad de Datos conforme a esta Sección 7 no se interpretará como un reconocimiento por parte de Superhuman de culpa o responsabilidad alguna con respecto al Incidente de Seguridad de Datos. Superhuman no tiene la obligación de evaluar los Datos del Cliente para identificar información que pueda estar sujeta a requisitos legales específicos.

c. El Cliente reconoce que (i) los Incidentes de Seguridad de Datos y los compromisos de Superhuman en este Anexo no se extienden a las integraciones o servicios de terceros que el Cliente o sus Usuarios Finales adquieran a través del mercado de Superhuman y (ii) el Cliente es el único responsable de revisar la documentación y los acuerdos de seguridad y privacidad proporcionados por dichos terceros.

8. Subprocesadores.

a. El Cliente reconoce y acepta que Superhuman podrá contratar Subencargados del Tratamiento para el Tratamiento de los Datos Personales del Cliente de conformidad con las disposiciones de este Anexo y la legislación aplicable en materia de protección de datos. La lista actualizada de los Subencargados del Tratamiento de Superhuman está disponible en https://superhuman.com/legal/subprocessors ( la «Página de Subencargados del Tratamiento» ), y el Cliente autoriza expresamente a Superhuman a contratar a dichos Subencargados. Asimismo, el Cliente autoriza de forma general a Superhuman a contratar a otros terceros como Subencargados del Tratamiento, de conformidad con la Sección 8(c) a continuación.

b. Superhuman deberá: (i) suscribir un acuerdo por escrito con cada Subencargado del Tratamiento que contenga obligaciones de protección de datos que proporcionen al menos el mismo nivel de protección para los Datos Personales del Cliente que el establecido en este Anexo, en la medida en que sea aplicable a la naturaleza del servicio prestado por dicho Subencargado del Tratamiento; y (ii) seguir siendo responsable del cumplimiento por parte de dicho Subencargado del Tratamiento de las obligaciones de este Anexo y de cualquier acto u omisión de dicho Subencargado del Tratamiento que provoque el incumplimiento por parte de Superhuman de cualquiera de sus obligaciones en virtud de este Anexo.

c. Superhuman notificará al Cliente si añade Subencargados del Tratamiento con al menos 30 días de antelación a dichos cambios, siempre que el Cliente opte por recibir dichas notificaciones mediante el formulario específico que se indica en la página de Subencargados del Tratamiento. El Cliente podrá oponerse por escrito al nombramiento de cualquier nuevo Subencargado del Tratamiento por parte de Superhuman antes de su nombramiento, por motivos razonables relacionados con la protección de datos (por ejemplo, si la puesta a disposición de los Datos Personales del Cliente al Subencargado del Tratamiento pudiera infringir la legislación aplicable en materia de protección de datos o debilitar la protección de dichos Datos Personales del Cliente). En tal caso, las Partes tratarán estas inquietudes de buena fe con el fin de alcanzar una solución comercialmente razonable. Si no se alcanza dicha solución, Superhuman, a su entera discreción, podrá optar por no nombrar al Subencargado del Tratamiento o permitir al Cliente rescindir o suspender el Servicio afectado de conformidad con las cláusulas de rescisión del Contrato, sin responsabilidad alguna para ninguna de las Partes (pero sin perjuicio de las tarifas incurridas por el Cliente antes de la suspensión o rescisión).

9. Transferencias de datos.

a. El Cliente reconoce que Superhuman puede procesar los Datos Personales del Cliente en los Estados Unidos y en cualquier otra ubicación donde Superhuman y sus Subencargados mantengan operaciones de procesamiento de datos para prestar el Servicio. Superhuman no transferirá (directamente ni mediante transferencia posterior) Datos Personales del Cliente originados en Europa a un país fuera de Europa, a menos que previamente adopte medidas para que la transferencia cumpla con las leyes europeas de protección de datos aplicables.

b. Superhuman participa en el Marco de Privacidad de Datos y certifica su cumplimiento, tal como se describe en la Certificación del Marco de Privacidad de Datos de Superhuman, Inc. En los casos en que el Marco de Privacidad de Datos sea aplicable, se utilizará para recibir legalmente Datos Personales del Cliente en los Estados Unidos, y Superhuman garantizará que proporcione al menos el mismo nivel de protección a dichos datos que el exigido por los Principios del Marco de Privacidad de Datos. Superhuman notificará al Cliente si determina que ya no puede cumplir con sus obligaciones en virtud del Marco de Privacidad de Datos.

c. Si la legislación europea de protección de datos exige la implementación de salvaguardias adecuadas (por ejemplo, si el marco de protección de datos no cubre la transferencia o queda invalidado), las cláusulas contractuales tipo aplicables se incorporarán íntegramente por referencia y formarán parte integrante de este Anexo, como se indica a continuación (los anexos y/o apéndices de las cláusulas contractuales tipo aplicables se detallan en el Anexo A de este Anexo):

i. En la medida en que Superhuman procese datos personales del Cliente protegidos por la legislación europea de protección de datos, Superhuman se compromete a cumplir y procesar dichos datos personales del Cliente de conformidad con las Cláusulas Contractuales Tipo de la UE. A efectos de las descripciones en las Cláusulas Contractuales Tipo de la UE, Superhuman acepta ser el «importador de datos» y el Cliente el «exportador de datos» (aun cuando el Cliente sea una entidad ubicada en un tercer país). A efectos de la cláusula 9 de las Cláusulas Contractuales Tipo de la UE, se permitirá la autorización general para la contratación de subencargados del tratamiento de conformidad con la sección 8.c de este Anexo. A efectos de la cláusula 17 de las Cláusulas Contractuales Tipo (CCT) de la UE, la ley aplicable será la de Irlanda, y para la cláusula 18, los tribunales irlandeses tendrán jurisdicción.

ii. En la medida en que Superhuman procese Datos Personales del Cliente protegidos por la legislación británica de protección de datos, se aplicarán las CCT del Reino Unido.

iii. En la medida en que Superhuman procese Datos Personales del Cliente protegidos por la Autoridad Suiza de Protección de Datos (APPD), se aplicarán las CCT de la UE, con las siguientes modificaciones:

A. Cualquier referencia en las CCT de la UE a la «Directiva 95/46/CE» o al «Reglamento (UE) 2016/679» se interpretará como una referencia a la APPD;
B. Las referencias a «UE», «Unión», «Estado miembro» y «Derecho del Estado miembro» se interpretarán como referencias a Suiza y al Derecho suizo, según corresponda.
C. Las referencias a la «autoridad supervisora competente» y a los «tribunales competentes» se interpretarán como referencias a la FDIPC y a los tribunales competentes de Suiza.

iv. En caso de conflicto entre las Cláusulas Contractuales Tipo de la UE o del Reino Unido y el presente Anexo, prevalecerán las Cláusulas Contractuales Tipo de la UE o del Reino Unido (según corresponda).

10. Auditorías.

a. A solicitud del Cliente, Superhuman le proporcionará la información razonablemente necesaria para demostrar el cumplimiento de este Anexo. El Cliente reconoce y acepta que ejercerá sus derechos de auditoría conforme a este Anexo (incluida esta Sección 10(a) y, cuando corresponda, las Cláusulas Contractuales Estándar), así como cualquier derecho de auditoría otorgado en virtud de las Leyes de Protección de Datos Aplicables, instruyendo a Superhuman para que cumpla con las medidas de auditoría descritas en la Sección 10(b) a continuación.

b. Previa solicitud por escrito, Superhuman proporcionará al Cliente (de forma confidencial) una copia resumida de su(s) informe(s) de auditoría más reciente(s) («Informe de Auditoría»), elaborado(s) por profesionales de seguridad externos, seleccionados y a cargo de Superhuman.

11. Devolución o destrucción de datos personales del cliente.

a. Al término o vencimiento del Acuerdo, Superhuman, a solicitud escrita del Cliente, pondrá a su disposición para su devolución y/o destruirá de forma segura todos los Datos Personales del Cliente que obren en su poder o bajo su control, de conformidad con el Acuerdo. No obstante, este requisito no se aplicará en la medida en que la legislación aplicable exija a Superhuman conservar algunos o todos los Datos Personales del Cliente, o los Datos Personales del Cliente que haya archivado en sistemas de copia de seguridad, datos que Superhuman aislará y protegerá de forma segura de cualquier procesamiento posterior y eliminará de acuerdo con sus prácticas de eliminación.

12. Datos anonimizados de residentes de Estados Unidos.

a. Las Partes reconocen que los datos que han sido anonimizados o desidentificados de conformidad con las leyes de privacidad de datos de los Estados Unidos ( «Datos Anonimizados» ) no son Datos Personales.

b. Salvo que las leyes de privacidad de datos aplicables lo permitan de otro modo, Superhuman podrá anonimizar los Datos Personales del Cliente y procesar los Datos Anonimizados únicamente si:

i. Adopta medidas razonables para garantizar que los Datos Anonimizados no puedan asociarse con una persona;
ii. Se compromete públicamente a mantener y utilizar los Datos Anonimizados únicamente de forma anonimizada y a no intentar reidentificarlos; y
iii. Obliga contractualmente a cualquier destinatario de los Datos Anonimizados a cumplir con requisitos sustancialmente similares a los establecidos en esta Sección 12 (Datos Anonimizados) del Anexo.

13. Limitación de responsabilidad.

a. La responsabilidad de Superhuman que surja de o en relación con este Anexo está sujeta a las limitaciones y exclusiones de responsabilidad establecidas en el Acuerdo.

14. Término.

a. La fecha de entrada en vigor de esta Adenda es la fecha de la última firma de una Parte o, si no existe tal fecha, la fecha de entrada en vigor del Acuerdo.

15. Supervivencia.

a. Las disposiciones de este Anexo seguirán vigentes tras la rescisión o expiración del Acuerdo mientras Superhuman o sus Subprocesadores procesen Datos Personales del Cliente.

Anexo A: Descripción del procesamiento de datos

1. Lista de partidos :

Exportador(es) de datos:
Nombre : La entidad identificada como «Cliente» en el Anexo.
Dirección : La dirección del Cliente especificada en el Anexo o el Contrato.
Datos de contacto : Los datos de contacto asociados a la cuenta del Cliente, o los que se especifiquen en el Anexo o el Contrato.
Actividades relacionadas con los datos transferidos : Véase la Sección 2 a continuación.
Función : Si el Cliente actúa como responsable del tratamiento, Responsable del tratamiento. Si el Cliente actúa como encargado del tratamiento, Encargado del tratamiento.

Importador(es) de datos:
Nombre : “Superhuman”, según se identifica en el Anexo.
Dirección : La dirección de Superhuman especificada en el Acuerdo.
Datos de contacto : Los datos de contacto de Superhuman especificados en el Anexo o el Acuerdo.
Actividades relevantes para los datos transferidos : Véase la Sección 2 a continuación.
Rol : Procesador.

2. Descripción del Tratamiento

a. Objeto, naturaleza y finalidad del Tratamiento: Superhuman tratará los Datos Personales del Cliente exclusivamente para las finalidades establecidas en la Sección 2(c) de este Anexo.

b. Duración prevista del Tratamiento: Durante la vigencia del Contrato, más el período comprendido entre su vencimiento o rescisión y la eliminación de todos los Datos Personales del Cliente por parte de Superhuman de conformidad con el Contrato.

c. Categorías típicas de Interesados: Los interesados incluyen a las personas físicas cuyos datos se proporcionan a Superhuman a través del Servicio por parte del Cliente o sus Usuarios (o siguiendo sus instrucciones).

d. Categorías de Datos Personales del Cliente que suelen ser objeto de Tratamiento en virtud del Contrato: Las categorías de Datos Personales del Cliente son determinadas por el Cliente a su entera discreción e incluyen datos relativos a personas físicas proporcionados a Superhuman a través del Servicio por parte del Cliente o sus Usuarios (o siguiendo sus instrucciones).

e. Categorías especiales de Datos Personales: Superhuman no recopila ni trata intencionadamente ninguna categoría especial de Datos Personales.

Anexo B: Medidas técnicas y organizativas, incluidas medidas técnicas y organizativas para garantizar la seguridad de los datos.

Los Servicios prestados en virtud de este Anexo comprenden diversas ofertas de productos, entre las que se incluyen, sin limitación, Grammarly, Superhuman Mail y Coda (en adelante, los «Servicios»). Cada Servicio mantiene e implementa medidas de seguridad técnicas y organizativas adecuadas a su diseño y funcionalidad para la protección de los Datos Personales del Cliente y para la prevención, detección y mitigación de Incidentes de Seguridad de Datos. En vista de las diferentes arquitecturas y requisitos operativos de los respectivos Servicios, las Medidas de Seguridad aplicables a cada uno se describen por separado a continuación. Para mayor claridad, las medidas de seguridad técnicas y organizativas aquí descritas son específicas del Servicio correspondiente y no se interpretarán como aplicables a ningún otro Servicio. Dichas Medidas de Seguridad se aplicarán únicamente en la medida en que el Cliente haya contratado el Servicio correspondiente, tal como se identifica en el documento de pedido o en la página de pago en línea aceptado por el Cliente.

Medidas de seguridad aplicables a los servicios de Grammarly :

Grammarly aplica estrictos procedimientos administrativos, contractuales y técnicos para proteger la información que se transfiere hacia, desde y almacena en sus servidores para la prestación de sus servicios.

Toda la infraestructura de servidores de Grammarly está alojada en Amazon Web Services (AWS) en Estados Unidos. Los servidores y la red de Grammarly minimizan la superficie de ataque, ubicando todos los sistemas de nuestra red privada dentro de nuestra plataforma segura en la nube y exponiendo los servicios externos únicamente a través de balanceadores de carga y un firewall de aplicaciones web. Grammarly está registrado en AWS Enterprise Support, el nivel más alto de soporte de AWS.

Grammarly cifra todas las transferencias de datos entre sí y los exportadores de datos mediante protocolos de cifrado actualizados, incluyendo al menos TLS 1.2. Los datos de los clientes se cifran en reposo mediante AES-256. Grammarly utiliza AWS Key Management Services para el cifrado de bases de datos y la gestión de claves. El acceso a las claves criptográficas está restringido al personal autorizado. Los servicios internos de Grammarly están disponibles a través de su red privada virtual (VPN), con la excepción de aquellos que requieren acceso a internet para el suministro de productos a los clientes.

El acceso al almacenamiento de datos personales se realiza mediante el principio de mínimo privilegio y se requiere autenticación multifactor. El equipo de seguridad supervisa continuamente el acceso a toda la información y establece límites de seguridad claros entre los entornos de producción, pruebas, desarrollo, etc.

Los equipos de Cumplimiento de Grammarly definen y controlan la recopilación, el procesamiento y el almacenamiento de los datos personales de los clientes. Para ello, Grammarly utiliza diagramas de flujo de datos, inventario de servicios, listas de verificación para el lanzamiento de nuevos servicios y otros procesos para rastrear todas las transferencias de datos internas y externas. Grammarly verifica todos los cambios de código mediante revisiones, comprobaciones automatizadas y realiza pruebas de penetración de seguridad anuales con una empresa externa. Todos los portátiles, servidores y contenedores están configurados para actualizarse a las últimas versiones disponibles.

Encontrará información detallada sobre las medidas técnicas y organizativas de Grammarly para garantizar la seguridad de los datos en las páginas de certificación y cumplimiento normativo de nivel empresarial en https://www.grammarly.com/security y https://www.grammarly.com/trust .

Medidas de seguridad aplicables a los servicios de Superhuman Mail :

El programa de seguridad de la información de Superhuman Mail incluye medidas de seguridad administrativas, técnicas y físicas diseñadas para proteger la información personal que manejamos contra amenazas o riesgos previstos para su seguridad, confidencialidad o integridad (como el acceso, la recopilación, el uso, la copia, la modificación, la eliminación o la divulgación no autorizados, la pérdida, la destrucción, la adquisición, el daño o cualquier otra forma de procesamiento no autorizado, ya sea no autorizado, ilícito o accidental).

El programa de seguridad de Superhuman se basa en los siguientes principios clave de seguridad:

El principio de privilegio mínimo: A los servicios y usuarios se les otorga el conjunto mínimo de permisos necesarios para realizar su trabajo.
Cifrado en reposo y en tránsito: Todos los datos se cifran en reposo y en tránsito, y los datos especialmente sensibles se cifran adicionalmente a nivel de aplicación.
Superficie de ataque minimizada: No exponemos ningún servidor interno a Internet, utilizamos contenedores sin distribución y nos ejecutamos completamente en una infraestructura gestionada por Google.
Actualizaciones automáticas: Los portátiles, servidores y contenedores están configurados para actualizarse automáticamente a las últimas versiones poco después de que estén disponibles.
Límites de seguridad definidos: Los entornos de producción, pruebas, desarrollo, etc., están separados, y para acceder a ellos es necesario autenticarse mediante la gestión de identidades y accesos (IAM) de Google. La autenticación requiere dos factores.
Verificación de supuestos: Todo el código que se agrega a Superhuman se revisa desde el punto de vista de la seguridad, y realizamos auditorías de seguridad anuales con una empresa externa para identificar errores.

A continuación se muestran algunos ejemplos ilustrativos de las medidas de seguridad implementadas:
1. Medidas para el cifrado de datos personales

Superhuman está alojado completamente en Google Cloud. Utilizamos su seguridad de infraestructura existente para cifrar los datos en reposo y, cuando corresponde, una capa adicional de cifrado a nivel de aplicación para reducir el riesgo de exposición de datos.
Superhuman encripta todo el tráfico de red a través de Internet público utilizando al menos TLS 1.2, y utiliza Google Cloud ATLS para proteger el tráfico dentro de nuestro entorno.

2. Medidas para proteger la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento.

Superhuman mantiene todos sus sistemas y servicios actualizados, utilizando mecanismos automatizados siempre que sea posible o respondiendo a alertas proactivas. Dependemos en gran medida de una infraestructura inmutable que se recrea periódicamente en un estado óptimo conocido.
Los permisos se asignan utilizando el principio de mínimo privilegio: cada empleado solo tiene acceso a las partes necesarias de la infraestructura para desempeñar su función.
Superhuman predice de forma proactiva cómo cambiarán nuestros patrones de uso e invierte considerablemente en garantizar que nuestros sistemas sean resilientes a la carga prevista. Todos los cambios en los sistemas son aprobados por un ingeniero independiente y probados antes de su implementación en producción.

3. Medidas para restablecer la disponibilidad y el acceso a la Información Personal de manera oportuna en caso de un incidente físico o técnico.

Superhuman supervisa continuamente la disponibilidad de sus sistemas y cuenta con cobertura 24/7 en caso de incidentes que afecten la disponibilidad del servicio.
Los servicios esenciales de Superhuman están distribuidos en múltiples zonas para reducir la probabilidad de que un evento catastrófico afecte nuestra disponibilidad.
Superhuman realiza copias de seguridad de todos los datos, y esas copias de seguridad se distribuyen en múltiples regiones, de modo que si nuestro entorno de producción en vivo no está disponible por completo, aún podremos restaurar el acceso a los datos.

4. Procesos para probar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

Superhuman realiza auditorías de seguridad anuales utilizando una empresa externa para ayudar a identificar áreas de riesgo cibernético.
Superhuman lleva a cabo un proceso de auditoría SOC 2 anual para ayudar a evaluar la eficacia de nuestros controles.
Superhuman realiza simulaciones trimestrales de interrupciones por incidentes, incluyendo la restauración de copias de seguridad de producción.

5. Medidas para la identificación y autorización del usuario

La identificación del usuario se delega a su proveedor de correo electrónico (Google o Microsoft), y dependemos en gran medida de OAuth2 para la autorización.
Los empleados con habilidades Superhumans están obligados a utilizar la autenticación multifactor.
Todos los eventos de inicio de sesión se registran en un sistema de registro independiente.

6. Medidas de seguridad física de los lugares donde se procesa la información personal

Superhuman procesa la información personal dentro de Google Cloud, que proporciona seguridad física tal como se describe en la documentación de Google: https://cloud.google.com/security

7. Medidas para garantizar la configuración del sistema, incluida la configuración predeterminada

Superhuman utiliza Google Cloud Kubernetes Engine para garantizar una configuración coherente en todas nuestras máquinas de producción.
Superhuman utiliza Google Cloud Security Scanner para identificar cualquier cambio inseguro en la configuración de nuestros recursos de Google Cloud.
Superhuman utiliza MDM para imponer una configuración de sistema segura para todos los portátiles propiedad de la empresa.

8. Medidas para la gobernanza y gestión interna de TI y seguridad informática

La infraestructura de Superhuman está cubierta por la certificación ISO 27001 y las certificaciones SOC 2 de Google, ya que está alojada completamente en Google Cloud.
Superhuman cuenta con una Política de Seguridad de la Información por escrito, que incluye documentación de respaldo.
Otras políticas de seguridad escritas que Superhuman tiene implementadas incluyen las siguientes:
- Niveles de acceso a los datos
- Recuperación ante desastres y continuidad del negocio
- política de gestión de infraestructuras
- Registros de actividades de procesamiento
- Política de gestión de riesgos
- Política de retención de datos

9. Medidas para garantizar la rendición de cuentas

Superhuman exige que todos los empleados informen sobre cualquier posible violación de las políticas y que la remitan a un gerente o a nuestro formulario de quejas anónimas.

Medidas de seguridad aplicables a las ofertas de Coda :

Consulte la información disponible en este sitio (que se actualiza periódicamente): https://coda.io/trust/securityannex