Legal de Oracle

Privacidad en Oracle
Política de Privacidad de los Servicios Oracle

Esta Política de Privacidad de los Servicios Oracle ("Política de Privacidad de Servicios") está organizada en tres secciones:

I. En la primera sección (Términos del Procesamiento de Datos de Información Personal de Servicios) se describen las prácticas de privacidad y seguridad que Oracle Corporation y sus filiales (“Oracle”) emplean al gestionar la Información Personal de Servicios (como se define a continuación) para proporcionar servicios de soporte técnico, servicios de consultoría, servicios en la nube o de otro tipo (“Servicios”) a los clientes de Oracle (“Usted” o “Su/Sus”) durante el periodo de Su Pedido.

La Información Personal de Servicios es información personal que Usted proporciona, que reside en los sistemas y entornos de Oracle, del cliente o de terceros, y que Oracle procesa en Su nombre para poder prestar los Servicios. Entre la Información Personal de Servicios que se procesa se incluye, en función de los Servicios: información sobre la familia, el estilo de vida y las circunstancias sociales; información laboral; información financiera; identificadores en línea, como ID de dispositivo móvil y direcciones IP, e información propia sobre intereses y comportamiento en línea. La Información Personal de Servicios puede referirse a Sus representantes y usuarios finales, como Sus empleados, solicitantes de empleo, contratistas, colaboradores, socios, proveedores y clientes.

II. En la segunda sección (Términos del Procesamiento de Datos de Operaciones de Sistemas) se describen las prácticas de privacidad y seguridad que se aplican a la información personal que puede encontrarse de forma casual en los Datos de Operaciones de Sistemas que se generan mediante la interacción de los usuarios (finales) de nuestros Servicios (“Usuarios”) con los sistemas y redes de Oracle utilizados para supervisar, proteger y proporcionar Servicios a nuestra base de clientes.

Entre los Datos de Operaciones de Sistemas se incluyen archivos de registro, archivos de eventos y otros archivos de seguimiento y diagnóstico, así como información estadística y agregada relacionada con el uso y el funcionamiento de nuestros Servicios, y los sistemas y las redes en los que se ejecutan dichos Servicios.

III. La tercera sección (Comunicaciones y Notificaciones a los Clientes y Usuarios) se aplica a la Información Personal de Servicios y a la información personal incluida en los Datos de Operaciones de Sistemas; describe el modo en que Oracle gestiona las solicitudes de divulgación exigidas legalmente, y les informa a Usted y a los Usuarios de cómo comunicarse con el Responsable Global de Protección de Datos Personales de Oracle o presentar una reclamación.

Las definiciones de Información Personal de Servicios y Datos de Operaciones de Sistemas no incluyen información de contacto relacionada con Usted ni con sus Usuarios recopilada al utilizar los sitios web de Oracle, o mediante sus interacciones con nosotros durante el proceso de contratación. La gestión de esta información por parte de Oracle está sujeta a las condiciones de la Política General de Privacidad de Oracle.

I. TÉRMINOS DEL PROCESAMIENTO DE DATOS DE INFORMACIÓN PERSONAL DE SERVICIOS

Oracle trata toda la Información Personal de Servicios de acuerdo con los términos de las secciones I y III de esta Política y de Su Pedido.

En el caso de que exista un conflicto entre los términos de esta Política de Privacidad de Servicios y cualquier otra política de privacidad incorporada a Su Pedido, incluido un acuerdo de procesamiento de datos de Oracle, prevalecerán los términos de privacidad aplicables a Su Pedido.

1. Rendimiento de los Servicios

Oracle puede tratar la Información Personal de Servicios para las actividades de procesamiento necesarias para prestar los Servicios, lo que incluye la prueba y la aplicación de nuevas versiones, parches, actualizaciones y mejoras de productos o sistemas, y para la resolución de errores y problemas que Usted haya notificado a Oracle.

2. Instrucciones del cliente

Usted es quien controla la Información Personal de Servicios que trata Oracle para la prestación de los Servicios. Oracle procesará la Información Personal de Servicios como se especifica en Su Pedido y en Sus instrucciones adicionales documentadas por escrito en la medida necesaria para que Oracle (i) cumpla con sus obligaciones de tratamiento de datos conforme a la ley de protección de datos aplicable al encargado de tratamiento o (ii) le ayude a cumplir Sus obligaciones como responsable del tratamiento de acuerdo con la ley de protección de datos aplicable a Su uso de los Servicios. Oracle le informará de inmediato si, en nuestra opinión razonable, Sus instrucciones infringen la ley de protección de datos personales aplicable. Se podrán aplicar tarifas adicionales.

3. Derechos de las personas interesadas

Usted controla el acceso de Sus usuarios finales a Su Información Personal de Servicios, y Sus usuarios finales deberán remitirle a Usted cualquier solicitud relacionada con Su Información Personal de Servicio. En la medida en que Usted no disponga de dicho acceso, Oracle proporcionará ayuda razonable con las solicitudes de personas para acceder, eliminar o borrar, restringir, rectificar, recibir y transmitir, bloquear el acceso u oponerse al procesamiento de la Información Personal de Servicios en los sistemas de Oracle.

4. Seguridad y confidencialidad

Oracle ha implantado y mantendrá medidas técnicas y organizativas diseñadas para evitar la destrucción accidental o ilícita, la pérdida, la modificación, la difusión o el acceso no autorizado a la Información Personal de Servicios. Estas medidas, que suelen estar adaptadas a la norma ISO/IEC 27001:2013, gestionan todas las áreas de seguridad aplicables a los Servicios, incluidos el acceso físico, el acceso al sistema, el acceso a los datos, la transmisión, la introducción, la supervisión de la seguridad y la aplicación.

Los empleados de Oracle deben mantener la confidencialidad de la información personal. Entre las obligaciones de los empleados se incluyen acuerdos de confidencialidad por escrito, formación regular sobre protección de la información y el cumplimiento de las políticas de la empresa en materia de protección de la información confidencial.

Se puede encontrar información adicional sobre las medidas de seguridad específicas que se aplican a los Servicios, incluida la relativa a la conservación y la destrucción de datos personales, en las prácticas de seguridad de estos Servicios, disponibles para su consulta aquí.

5. Gestión de incidencias y notificación de vulneración de datos.

Oracle evalúa y responde rápidamente a las incidencias que indican o suscitan la sospecha de un acceso o una gestión no autorizados a la Información Personal de Servicios.

Si Oracle tiene constancia y determina que una incidencia relacionada con la Información Personal de Servicios se considera una vulneración de la seguridad que lleva a la apropiación indebida o la destrucción accidental o ilícita, la pérdida, la modificación, la difusión no autorizada o el acceso a la Información Personal de Servicios transmitidos, almacenados o procesados en los sistemas de Oracle que pone en riesgo la seguridad, confidencialidad o integridad de dicha Información Personal de Servicios, Oracle le informará de dicha vulneración sin demora injustificada.

Al recopilar información relativa a la vulneración o al ponerla razonablemente a disposición de Oracle y en la medida en que lo permita la ley, Oracle le proporcionará información pertinente adicional sobre la vulneración razonablemente conocida o a disposición de Oracle.

6. Subencargados del procesamiento

En la medida en que Oracle contrata subencargados del procesamiento externos que tienen acceso a la Información Personal de Servicios con el fin de ayudar en la prestación de Servicios, dichos subencargados del procesamiento estarán sujetos al mismo nivel de protección y seguridad de datos que Oracle de acuerdo con los términos de Su Pedido. Oracle es responsable de que los subencargados del procesamiento cumplan con los términos de Su Pedido.

Oracle conserva listas de filiales y subencargados de procesamiento de Oracle que pueden procesar Información Personal de Servicios. Puede encontrar información adicional a través de My Oracle Support (https://support.oracle.com), ID de documento 2121811.1, o de otra herramienta de soporte principal aplicable proporcionada para los Servicios.

7. Transferencias de datos transfronterizas

Oracle es una empresa multinacional que realiza operaciones en más de 80 países, y la Información Personal de Servicios se procesa de forma global de acuerdo con esta política. Si la Información Personal de Servicios se transfiere a un destinatario de Oracle ubicado en un país que no garantice un nivel de protección adecuado para la información personal, Oracle tomará las medidas adecuadas diseñadas a fin de proteger la Información Personal de Servicios, por ejemplo, garantizar que dichas transferencias estén sujetas a los términos de las Cláusulas modelo de la UE u otro mecanismo de transferencia adecuado, según lo requieran las leyes de protección de datos pertinentes.

En caso de que el acuerdo de servicios entre Usted y Oracle haga referencia al Acuerdo de procesamiento de datos de Oracle para servicios de Oracle (“DPA”, del inglés Data Processing Agreement), en DPA encontrará más información sobre el mecanismo de transferencia de datos pertinente que se aplica a su pedido de servicios Oracle. En particular, en el caso de la Información Personal de Servicios que se transfiere desde el Espacio Económico Europeo (“EEE”), Suiza o el Reino Unido, dichas transferencias están sujetas a las Normas corporativas vinculantes para encargados del tratamiento (BCR-P) de Oracle o a los términos de las Cláusulas modelo de la UE.

8. Derechos de auditoría

En la medida prevista en Su Pedido, Usted puede, por su propia cuenta, auditar el cumplimiento por parte de Oracle de los términos de esta Política de Privacidad de Servicios. Para ello, envíe a Oracle una solicitud por escrito en la que se incluya un plan de auditoría detallado, al menos seis semanas antes de la fecha de auditoría propuesta. Usted y Oracle trabajarán conjuntamente para acordar un plan de auditoría final.

La auditoría se llevará a cabo no más de una vez durante un periodo de doce meses, durante el horario laboral y conforme a las políticas y normativas in situ de Oracle, y no podrá afectar razonablemente a las actividades comerciales. Si desea que un tercero realice la auditoría, las partes elegirán el auditor externo de mutuo acuerdo, y el auditor externo deberá cumplir un acuerdo por escrito de confidencialidad aceptable para Oracle. Tras la finalización de la auditoría, tendrá que proporcionar a Oracle una copia del informe de auditoría, que se clasificará como información confidencial bajo los términos de Su acuerdo con Oracle.

Oracle contribuirá a dicha auditoría al proporcionarle la información y la ayuda razonablemente necesarias para realizarla, incluidos los registros pertinentes de las actividades de procesamiento aplicables a los Servicios. Si el alcance de la auditoría solicitada se trata en un informe de auditoría SOC 1 o SOC 2, ISO, NIST, PCI DSS, HIPAA o similar emitido por un auditor externo acreditado en los últimos doce meses, y Oracle le proporciona ese informe que confirma que no se conocen cambios sustanciales en los controles auditados, Usted se compromete a aceptar los resultados presentados en el informe de auditoría externa en lugar de solicitar una auditoría de los mismos controles cubiertos por el informe. En Su Pedido se podrán incluir términos de auditoría adicionales.

9. Eliminación o devolución de Información Personal de Servicios

Salvo en los casos en que se especifique lo contrario en un pedido, cuando sea requerido por la Ley, tras la finalización de los servicios, o si Usted lo solicita, Oracle destruirá sus datos de producción de cliente ubicados en computadoras de Oracle de la manera necesaria para asegurarse de que no sea posible acceder a ellos o leerlos, a menos que exista una obligación legal impuesta a Oracle que impida la eliminación de la totalidad o de una parte de los datos. Puede consultar a su contacto de servicios de Oracle para obtener más información sobre la eliminación de datos antes de la finalización de los servicios.

II. TÉRMINOS DEL PROCESAMIENTO DE DATOS DE OPERACIONES DE SISTEMAS

1. Responsabilidad y finalidad del procesamiento de la información personal

Oracle Corporation y sus entidades afiliadas son responsables del procesamiento de la información personal que puede encontrarse de forma casual en los Datos de Operaciones de Sistemas de acuerdo con las secciones II y III de esta Política. Puede acceder a la lista de entidades de Oracle aquí. Seleccione una región y un país para ver la dirección registrada y la información de contacto de la entidad o entidades de Oracle de cada zona.

Podremos recopilar o generar Datos de Operaciones de Sistemas para:

• a) garantizar la seguridad de nuestros Servicios, lo que incluye supervisar la seguridad y gestionar identidades;
• b) investigar y evitar posibles fraudes o actividades ilícitas con nuestros sistemas y redes, lo que incluye evitar ciberataques y detectar bots (robots de software);
• c) administrar nuestros planes y políticas de seguridad de recuperación ante desastres;
• d) confirmar el cumplimiento de licencias y otras condiciones de uso (supervisión del cumplimiento de licencias);
• e) fines de investigación y desarrollo, lo que incluye analizar, desarrollar, mejorar y optimizar nuestros Servicios, y
• f) cumplir con las normativas y leyes aplicables, y poner en marcha nuestras actividades comerciales, lo que incluye cumplir solicitudes de informes, divulgación u otros procesos legales que sean legalmente obligatorias, para fines de fusiones y adquisiciones, finanzas y contabilidad, archivado y relacionados con seguros, legal, consultoría jurídica y empresarial, y en el contexto de la resolución de conflictos.

En el caso de información personal que se encuentra en los Datos de Operaciones de Sistemas recopilados en la UE, nuestro fundamento jurídico para procesar dicha información es nuestro interés legítimo en la realización, la conservación y la seguridad de nuestros productos y servicios, y la realización de nuestras actividades comerciales de una forma eficaz y apropiada. La información personal se podrá procesar según nuestras obligaciones legales o nuestro interés legítimo en cumplir dichas obligaciones legales.

2. Intercambio de información personal

La información personal que se encuentra en los Datos de Operaciones de Sistemas se podrá compartir en toda la organización de Oracle a nivel global. Puede acceder a la lista de entidades de Oracle como se ha indicado anteriormente.

También podremos compartir dicha información personal con terceros en los siguientes casos:

• proveedores de servicios externos (por ejemplo, proveedores de servicios de TI, abogados y auditores) para que estos puedan realizar funciones comerciales en nombre de Oracle;
• terceros pertinentes en caso de reorganización, fusión, venta, asociación de empresas, asignación, transferencia u otra disposición de todo o parte de nuestro negocio, activos o acciones (incluidos los relacionados en caso de quiebra o cualquier otro procedimiento similar), y
• de acuerdo con lo establecido en la ley, a efectos del cumplimiento de una citación o de otros procesos legales, si, en nuestra opinión, la divulgación resulta necesaria para proteger nuestros derechos, garantizar su seguridad o la seguridad de otros, investigar un fraude o responder a solicitudes estatales, incluidas las autoridades públicas y gubernamentales fuera de su país de residencia, para la seguridad nacional y/o a efectos de una acción policial.

Si otorgamos a terceros acceso a la información personal que se encuentra en los Datos de Operaciones de Sistemas, tomaremos las medidas contractuales, técnicas y organizativas convenientes para garantizar, por ejemplo, que la información personal se procesa únicamente en la medida en que resulte imprescindible, y siempre de acuerdo con esta Política de Privacidad y la ley aplicable.

3. Transferencias de datos transfronterizas

Si la información personal que se encuentra en los Datos de Operaciones de Sistemas se transfiere a un destinatario de Oracle ubicado en un país que no garantice un nivel de protección adecuado para dicha información, Oracle tomará las medidas pertinentes a fin de proteger la información sobre los Usuarios de forma adecuada y se asegurará de que las transferencias de información se sometan a las condiciones previstas en las cláusulas modelo de la UE.

4. Seguridad

Oracle ha implantado las medidas técnicas, físicas y organizativas adecuadas de acuerdo con las prácticas de seguridad corporativa de Oracle diseñadas para proteger la información personal frente a la destrucción accidental o ilícita, o la pérdida accidental, el daño, la modificación, la difusión o el acceso no autorizado, así como frente a todas las demás formas de procesamiento ilícito (entre otras, la recopilación innecesaria) o procesamiento posterior.

5. Opciones de los Usuarios

En la medida prevista en las leyes aplicables, los Usuarios podrán solicitar el acceso, la corrección, la actualización o la eliminación de la información personal que se encuentra en los Datos de Operaciones de Sistemas en determinados casos, o ejercer sus opciones con respecto a Su información personal mediante un formulario de consulta.

III. COMUNICACIONES Y NOTIFICACIONES A LOS CLIENTES Y USUARIOS

1. Requisitos legales.

Oracle puede verse obligado a proporcionar acceso a la Información Personal de Servicios y a la información personal que se encuentra en los Datos de Operaciones de Sistemas de acuerdo con lo establecido en la ley, a efectos del cumplimiento de una citación o de otros procesos legales, si, en nuestra opinión, la divulgación resulta necesaria para proteger nuestros derechos, garantizar Su seguridad o la seguridad de un Usuario, investigar un fraude o responder a solicitudes estatales, incluidas las autoridades públicas y gubernamentales fuera de Su país de residencia o del país de residencia de un Usuario, para la seguridad nacional y/o a efectos de una acción policial.

Oracle le informará de inmediato de las solicitudes de proporcionar acceso a la Información Personal de Servicios, a menos que la ley exija lo contrario.

2. Responsable Global de Protección de Datos

Oracle ha nombrado a un Responsable Global de Protección de Datos, que también es Responsable jefe de la privacidad de Oracle. Si Usted o un Usuario creen que se ha utilizado información personal de una forma que no se ajusta a esta Política de Privacidad, o si tienen alguna duda, comentario o sugerencia relacionados con la gestión por parte de Oracle de la Información Personal de Servicios o la información personal que se encuentra en los Datos de Operaciones de Sistemas, pónganse en contacto con el Responsable Global de Protección de Datos mediante un formulario de consulta.

Las consultas por escrito dirigidas al Responsable Global de Protección de Datos deben enviarse a:

Oracle Corporation
Responsable Global de Protección de Datos
Willis Tower
233 South Wacker Drive
45th Floor
Chicago, IL 60606
EE. UU.

Las consultas sobre los datos personales recopilados dentro de la UE y el EEE deben dirigirse por escrito al Delegado de Protección de Datos para la UE:

Robert Niedermeier
Hauptstraße 4
D-85579 Neubiberg / München
Alemania

Las consultas sobre la información personal recopilada DENTRO de Brasil deben dirigirse por escrito al Delegado de Protección de datos para Brasil:

Alexandre Sarte
Rua Dr. Jose Aureo Bustamante, 455
Vila São Francisco
São Paulo, BR

3. Resolución de conflictos o presentación de una reclamación

Si Usted o un Usuario tienen alguna queja relacionada con el cumplimiento de nuestras prácticas de privacidad y seguridad, contacte con nosotros en primer lugar. Investigaremos e intentaremos resolver cualquier queja y conflicto relacionado con nuestras prácticas de privacidad.

Los usuarios que tienen un problema sin resolver relacionado con la privacidad o el uso de los datos que no hemos solucionado de manera satisfactoria pueden ponerse en contacto con nuestro proveedor externo de resoluciones de conflictos con sede en EE. UU (de forma gratuita) en https://feedback-form.truste.com/watchdog/request.

En determinadas condiciones, los Usuarios pueden recurrir al arbitraje vinculante cuando se hayan agotado otros procedimientos de resolución de conflictos. Asimismo, los Usuarios tienen derecho a presentar una reclamación ante una autoridad de protección de datos competente si residen en un estado miembro de la Unión Europea.

4. Cambios a esta Política de Privacidad de Servicios

Esta Política de Privacidad se actualizó por última vez el 9 de abril de 2021. Sin embargo, la Política de Privacidad de Servicios puede cambiar a lo largo del tiempo con el objetivo de, por ejemplo, cumplir con los requisitos legales o cubrir las cambiantes necesidades de negocio. Puede acceder a la versión más actualizada en este sitio web. En caso de que los cambios sean materiales, se lo comunicaremos de cualquier otra forma adecuada (por ejemplo, mediante mensajes pop-up o declaraciones de cambios en nuestro sitio web) antes de que los cambios se hagan efectivos.

Versiones anteriores: 19-01-2021 | 20-10-2020 | 07-03-2019 | 14-02-2019