El anexo DORA complementa el acuerdo principal con DeepL al incorporar las disposiciones necesarias para cumplir con el Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital del sector financiero (Ley de Resiliencia Operativa Digital; «DORA», por sus siglas en inglés).
No se trata de un documento contractual independiente. En cambio, junto con el acuerdo principal y otras modificaciones contractuales, constituye un marco contractual único y unificado que se considerará e interpretará como un solo acuerdo.
En conjunto, cumplen los requisitos del artículo 30 del Reglamento (UE) 2022/2554 (DORA):
Descripción del servicio
Los servicios acordados y los acuerdos de nivel de servicio (cuando se especifique en el contrato) se establecen exclusivamente en el contrato principal y en el acuerdo de tratamiento de datos. El anexo remite a estas disposiciones en los términos correspondientes.
Centros de procesamiento
Los lugares de tratamiento pertinentes se definen en el acuerdo de tratamiento de datos y quedan regulados de forma exhaustiva en el mismo.
Medidas de seguridad de las TIC
DeepL implementa y mantiene las medidas de seguridad adecuadas. Los detalles se describen en el acuerdo principal o en el acuerdo de tratamiento de datos.
Obligaciones de asistencia
En caso de que se produzcan incidentes relacionados con las TIC relevantes a efectos de DORA, DeepL te prestará asistencia en la medida de lo razonable; en particular, facilitándote la información pertinente de forma oportuna y colaborando en el análisis y la investigación del incidente.
Subencargados del tratamiento de datos
DeepL tiene derecho a recurrir a subencargados del tratamiento de datos. Los subencargados contratados figuran en el anexo 1 del acuerdo de tratamiento de datos. Se te comunicarán los cambios con una antelación razonable (dos semanas) para que tengas la oportunidad de presentar tu objeción.
Rescisión y salida
El término se refiere al acuerdo principal. Los derechos de rescisión conformes con la DORA quedan plenamente regulados.
P) ¿El anexo también abarca las funciones críticas o importantes?
R) DeepL asume, por lo general, que sus servicios prestan soporte a funciones no críticas ni importantes con arreglo a la DORA. Por lo tanto, nuestro anexo se centra en las disposiciones contractuales aplicables a los servicios de TIC que prestan soporte a funciones no críticas ni importantes. Las entidades financieras deben evaluar si un servicio de TIC presta soporte a una función crítica o importante dentro de su organización (es decir, si no podrían operar o se verían gravemente afectadas sin dicho servicio).
P)¿Podemos auditar directamente a los subencargados de DeepL o requerir su participación en nuestros programas de formación de TIC?
R) DeepL no puede concederte derechos de auditoría directos sobre sus subencargados del tratamiento de datos ni obligarlos a participar en los programas de concienciación sobre seguridad informática o en la formación sobre resiliencia operativa digital que hayas puesto en marcha. Dado que los subencargados del tratamiento no forman parte de tu acuerdo con DeepL, dichas obligaciones quedan fuera de los compromisos que DeepL puede adoptar por contrato. No obstante, DeepL garantiza que cada subencargado del tratamiento esté sujeto a un acuerdo por escrito en el que se estipulan obligaciones en materia de protección de datos y seguridad sustancialmente equivalentes a las previstas en el acuerdo de tratamiento de datos. Llevamos a cabo una rigurosa selección de nuestros subencargados y auditamos a todos los subcontratistas clave con arreglo a la norma ISO 27001.
P) ¿Qué derechos de auditoría tenemos?
R) Tus derechos de auditoría se rigen íntegramente por el acuerdo de tratamiento de datos, al que hace referencia el anexo. Tienes derecho a efectuar una auditoría por año natural. Es posible llevar a cabo inspecciones presenciales. Se podrán efectuar auditorías adicionales previo acuerdo con DeepL y una vez reembolsados los gastos correspondientes. Todas las auditorías requieren un preaviso razonable y están sujetas a obligaciones de confidencialidad.
P) ¿En qué circunstancias se puede rescindir el anexo?
R) El anexo forma parte del acuerdo principal. Queda excluida la rescisión unilateral del Anexo, salvo que: quedes fuera del ámbito de aplicación de la DORA; en tal caso, cualquiera de las partes podrá rescindir el Anexo con un preaviso de cuatro semanas. Además, se admite la rescisión extraordinaria por causa justificada; por ejemplo, en casos de incumplimiento grave, deficiencias demostradas en materia de seguridad de las TIC o impedimentos relacionados con la supervisión regulatoria.
P) ¿Nos ofrece DeepL asistencia en caso de incidentes o en materia de cooperación regulatoria?
R) Sí. DeepL se compromete a colaborar con las autoridades de control pertinentes y a prestarte asistencia en caso de incidentes relacionados con la DORA. Este servicio se ofrece en la medida en que sea razonable, teniendo en cuenta los riesgos asociados a los servicios.
Para obtener más información sobre las medidas técnicas y organizativas de DeepL Pro y la seguridad de datos, visita el DeepL Trust Center. Aquí encontrarás información sobre nuestras certificaciones ISO 27001 y SOC 2 Tipo 2, las pruebas de penetración, nuestros centros de datos, el flujo de datos, etc.
Este documento no sustituye al anexo. El texto contractual firmado prevalecerá en todo caso.