Política de Privacidad de los Servicios Oracle

Esta Política de Privacidad de los Servicios Oracle ("Política de Privacidad de Servicios") está organizada en tres secciones:

I. La primera Sección (Condiciones del Tratamiento de Datos Personales de los Servicios) describe las prácticas de seguridad y privacidad que Oracle Corporation y sus filiales (en adelante, "Oracle") emplean al gestionar los Datos Personales de los Servicios (tal y como se define a continuación) para la prestación de los Servicios de Soporte Técnico, de Consultoría, de Servicios Cloud o de otro tipo, incluidos los prestados a través de aplicaciones móviles (los "Servicios") prestados a los clientes de Oracle (en adelante, "Vd." o "su") durante el plazo de Su Pedido de Servicios.

Información de Carácter Personal de los Servicios es la información personal que Vd. proporcione, que resida en los sistemas y entornos de Oracle, de clientes o de terceros y que Oracle procese en Su nombre para prestar los Servicios. Entre la Información Personal de Servicios se incluye, en función de los Servicios: información relativa a la familia, el estilo de vida y las circunstancias sociales; información laboral; información financiera; identificadores en línea, como ID de dispositivo móvil y direcciones IP, datos de geolocalización e información propia sobre intereses y comportamiento en línea. La Información Personal de Servicios puede referirse a Tus representantes y usuarios finales, como Tus empleados, solicitantes de empleo, contratistas, colaboradores, socios, proveedores y clientes.

II. La segunda Sección (Condiciones del Tratamiento de Datos de Operaciones del Sistema) describe las prácticas de seguridad y privacidad que se aplican a la información personal que puede estar contenida de manera incidental en los Datos de Operación de Sistemas generados por la interacción (finales) usuarios de nuestros Servicios (los "Usuarios") con los sistemas y redes de Oracle utilizados para monitorizar, salvaguardar y prestar Servicios a nuestra base de clientes.

Los datos de operaciones de los sistemas pueden incluir archivos log, archivos de eventos y otros archivos de rastreo y diagnóstico, así como información estadística y agregada relacionada con el uso y el funcionamiento de nuestros servicios, y los sistemas y redes en los que se ejecutan estos servicios.

III. La tercera Sección (Comunicaciones y Notificaciones a Clientes y Usuarios) se aplica tanto a los Datos Personales de Servicios como a los datos personales que figuran en los Datos de Operaciones del Sistema. Describe cómo Oracle maneja las solicitudes de revelación legalmente requeridas y le informa a Vd. y a los Usuarios cómo comunicarse con el Delegado de Protección de Datos Global de Oracle o presentar una queja.

Las definiciones de los Datos de Operaciones de Datos Personales y Sistemas de Servicios no incluyen los Contactos y información relacionada de Vd. o de los Usuarios recopilados mediante el uso de los sitios web de Oracle, ni las interacciones de Vd. o de los Usuarios con nosotros durante el proceso de contratación. El tratamiento de esta información por parte de Oracle está sujeto a los términos de la Política General de Privacidad de Oracle.

I. CONDICIONES DEL TRATAMIENTO DE DATOS DE INFORMACIÓN PERSONAL DE SERVICIOS

Oracle trata toda la Información Personal de Servicios de acuerdo con los términos de las secciones I y III de esta Política y de Su orden de Servicios.

En el caso de que exista un conflicto entre los términos de esta Política de Privacidad de Servicios y cualquier política de privacidad incorporada a Su orden de Servicios, incluido un acuerdo de procesamiento de datos de Oracle, los términos de privacidad relevantes de Su orden de Servicios tendrán prioridad.

1. Finalidad del Tratamiento de los Datos Personales de los Servicios

Oracle puede procesar la Información Personal de Servicios para las actividades de procesamiento necesarias para realizar los Servicios, lo que incluye la creación de una cuenta de servicios de Oracle para acceder a los productos y servicios de Oracle, para probar y aplicar nuevas versiones, parches, actualizaciones y mejoras de productos o sistemas, y la resolución de errores y otros problemas que Usted haya informado a Oracle.

2. Instrucciones del cliente

Usted es quien controla la Información Personal de Servicios que trata Oracle para la prestación de los Servicios. Oracle procesará la Información Personal de Servicios como se especifica en Su orden de Servicios y en Sus instrucciones por escrito adicionales documentadas en la medida necesaria para que Oracle (i) cumpla sus obligaciones de procesamiento conforme a la ley de protección de datos aplicable o (ii) le ayude a cumplir Sus obligaciones como controlador de acuerdo con la ley de protección de datos aplicable relevante para el uso que haga de los Servicios. Oracle le informará de inmediato si, en nuestra opinión razonable, Sus instrucciones infringen la ley de protección de datos aplicable. Vd. reconoce y acepta que Oracle no es responsable de llevar a cabo la investigación legal ni de proporcionarle a Vd. asesoramiento jurídico. Se podrán aplicar tarifas adicionales.

3. Derechos de las personas interesadas

Usted controla el acceso de Sus usuarios finales a Su Información Personal de Servicios, y Sus usuarios finales deberán remitirle a Usted cualquier solicitud relacionada con su Información Personal de Servicio. En la medida en que Usted no disponga de dicho acceso, Oracle proporcionará ayuda razonable con las solicitudes de personas para acceder, eliminar o borrar, restringir, rectificar, recibir y transmitir, bloquear el acceso u oponerse al procesamiento de la Información Personal de Servicios en los sistemas de Oracle. Si Oracle recibe cualquier solicitud o consulta procedente directamente de Sus Usuarios Finales que le hayan identificado a Vd. como el Responsable del Tratamiento, le trasladaremos a Vd. dichas solicitudes con prontitud sin responder al Usuario Final.

Si es un Usuario Final y tiene preguntas sobre sus opciones con respecto a la divulgación y uso de la Información Personal de Servicios proporcionada a Oracle, consulte directamente con la organización que recopiló su información de usted.

4. Seguridad y confidencialidad

Oracle ha implantado y mantendrá medidas técnicas y organizativas diseñadas para evitar la destrucción accidental o ilícita, la pérdida, la modificación, la difusión o el acceso no autorizado a la Información Personal de Servicios. Estas medidas, que suelen estar adaptadas a la norma ISO/IEC 27001:2013, gestionan todas las áreas de seguridad aplicables a los Servicios, incluidos el acceso físico, el acceso al sistema, el acceso a los datos, la transmisión, la introducción, la supervisión de la seguridad y la aplicación.

Los empleados de Oracle deben mantener la confidencialidad de la información personal. Las obligaciones de los empleados incluyen acuerdos de confidencialidad por escrito, formación regular sobre protección de la información y el cumplimiento de las políticas de la empresa en materia de protección de la información confidencial.

Consulte detalles adicionales relativos a las medidas de seguridad específicas que se aplican a los Servicios se establecen en las prácticas de seguridad de estos Servicios, incluyendo relativas a la retención y eliminación de datos, disponibles para su revisión.

5. Gestión de incidencias y notificación de vulneración de datos.

Oracle evalúa y responde rápidamente a las incidencias que indican o suscitan la sospecha de un acceso o una gestión no autorizados a la Información Personal de Servicios.

Si Oracle tiene constancia y determina que una incidencia relacionada con la Información Personal de Servicios se considera una vulneración de la seguridad que lleva a la apropiación indebida o la destrucción accidental o ilícita, la pérdida, la modificación, la difusión no autorizada o el acceso a la Información Personal de Servicios transmitidos, almacenados o procesados en los sistemas de Oracle que pone en riesgo la seguridad, confidencialidad o integridad de dicha Información Personal de Servicios, Oracle le informará de dicha vulneración sin demora injustificada.

Al recopilar información relativa a la vulneración o al ponerla razonablemente a disposición de Oracle y en la medida en que lo permita la ley, Oracle le proporcionará información pertinente adicional sobre la vulneración razonablemente conocida o a disposición de Oracle.

6. Subencargados del Tratamiento

En la medida en que Oracle contrata afiliados de Oracle y subprocesadores de terceros para tener acceso a Información Personal de Servicios con el propósito de ayudar en la prestación de Servicios, dichos subprocesadores estarán sujetos al mismo nivel de protección y seguridad de datos que Oracle en virtud de los términos de Su pedido de Servicios. Oracle es responsable del cumplimiento por parte de sus Subencargados del Tratamiento de las condiciones que figuran en Su Pedido de Servicios.

Oracle conserva listas de filiales y subencargados de procesamiento de Oracle que pueden procesar Información Personal de Servicios. Encontrará información adicional en My Oracle Support (https://support.oracle.com) ID de Documento 2121811.1 u otra herramienta de soporte principal aplicable ofrecida para los Servicios.

7. Transferencias de datos transfronterizas

Oracle es una empresa multinacional que realiza operaciones en más de 80 países, y la Información Personal de Servicios se procesa de forma global de acuerdo con esta política. Si la Información Personal de Servicios se transfiere a un destinatario de Oracle ubicado en un país que no garantice un nivel de protección adecuado para la información personal, Oracle tomará las medidas adecuadas diseñadas a fin de proteger la Información Personal de Servicios, por ejemplo, garantizar que dichas transferencias estén sujetas a los términos de las Cláusulas modelo de la UE u otro mecanismo de transferencia adecuado, según lo requieran las leyes de protección de datos pertinentes.

En caso de que el Acuerdo de Servicios formalizado entre Vd. y Oracle haga referencia al Acuerdo de Tratamiento de Datos de Oracle para Servicios Oracle ("DPA"), podrá encontrar más detalles sobre el mecanismo de transferencia de datos relevante que se aplique a Su Pedido de Servicios Oracle en el DPA. En particular, en el caso de los Datos Personales de Servicios transferidos desde el Espacio Económico Europeo (EEA) o Suiza, dichas transferencias están sujetas a la Normativa Corporativa Vinculante para Encargados del Tratamiento de Oracle (BCR-P) o a las condiciones de las Cláusulas Contractuales Tipo de la UE. Para los Servicios Información Personal transferida desde el Reino Unido, dichas transferencias están sujetas a la Adenda del Reino Unido u otro mecanismo de transferencia apropiado.

Oracle también cumple con la UE-EE. UU. Marco de privacidad de datos (EU-US) DPF), la extensión del Reino Unido a la UE-EE.UU. DPF y Suiza-EE.UU. Marco de privacidad de datos (Suiza-Estados Unidos) DPF) (colectivamente, el "DPF") según lo establecido por los Estados Unidos. El Departamento de Comercio, con respecto a la recopilación, uso y retención de la Información Personal de Servicios cuando Vd. y Oracle hayan acordado por contrato que las transferencias de dicha información de la EEA, el Reino Unido (y Gibraltar) o Suiza se transferirán y procesarán de conformidad con el DPF aplicable para los Servicios relevantes. Oracle será responsable de garantizar que los terceros que actúan como Subencargado del Tratamiento en nuestro nombre hacen lo mismo. Oracle seguirá siendo responsable en virtud de los Principios del DPF si su Subencargado del Tratamiento procesa los Datos Personales de los Servicios de una forma incoherente con los Principios del DPF, a menos que Oracle demuestre que no es responsable del evento que origine el daño.

Oracle se ha certificado en EE. UU. Departamento de Comercio que se adhiere a los Principios del DPF con respecto a la Información Personal de Servicios (como se describe anteriormente) que se transfiere de la Unión Europea, el Reino Unido (y Gibraltar) y / o Suiza a los Estados Unidos cuando se especifica en un contrato pertinente. Si existe algún conflicto entre los términos de esta Política de Privacidad de Servicios y los Principios de DPF, regirán los Principios de DPF. Para obtener más información sobre el programa DPF y ver la certificación de Oracle, visite el sitio web de Data Privacy Framework.

Consulte el sitio web de Data Privacy Framework o consulte esta lista de entidades estadounidenses cubiertas por la autocertificación de DPF de Oracle. Con respecto a los Datos Personales de Servicios recibidos o transferidos de conformidad con el DPF, la Comisión Federal de Comercio tiene jurisdicción sobre el cumplimiento por parte de Oracle del DPF.

8. Derechos de auditoría

En la medida en que se lo proporcione en su Pedido de Servicios, Vd. podrá, a su propio cargo, auditar el cumplimiento por parte de Oracle de las condiciones de esta Política de Privacidad de los Servicios enviando a Oracle una solicitud por escrito, incluido un plan de auditoría detallado, con al menos seis semanas de antelación a la fecha de auditoría propuesta. Tú y Oracle trabajarán conjuntamente para acordar un plan de auditoría final.

La auditoría se llevará a cabo no más de una vez durante un periodo de doce meses, durante el horario laboral habitual, con sujeción a las políticas y normativas in situ de Oracle, y no podrá interferir injustificadamente en las actividades empresariales. Si deseas que un tercero realice la auditoría, las partes elegirán el auditor externo de mutuo acuerdo, y el auditor externo deberá cumplir un acuerdo de confidencialidad por escrito aceptable para Oracle. Tras la finalización de la auditoría, tendrá que proporcionar a Oracle una copia del informe de auditoría, que se clasificará como información confidencial bajo los términos de Su acuerdo con Oracle.

Oracle contribuirá a dicha auditoría al proporcionarle la información y la ayuda necesarias para realizarla. Se incluyen los registros pertinentes de las actividades de procesamiento aplicables a los Servicios. Si el alcance de la auditoría solicitada se trata en un informe de auditoría SOC 1 o SOC 2, ISO, NIST, PCI DSS, HIPAA o similar emitido por un auditor externo acreditado en los últimos doce meses, y Oracle te proporciona ese informe que confirma que no se conocen cambios sustanciales en los controles auditados, Tú te comprometes a aceptar los resultados presentados en el informe de auditoría externa en lugar de solicitar una auditoría de los mismos controles cubiertos por el informe. En Su Pedido se podrán incluir términos de auditoría adicionales.

9. Eliminación o devolución de Información Personal de Servicios

Salvo que se establezca otra cosa en un Pedido para la prestación de Servicios o cuando así lo exija la ley, tras la resolución de los Servicios, Oracle devolverá o eliminará cualesquiera copias restantes de los datos de sus clientes de producción, incluyendo cualesquiera Datos Personales de Servicios, que se encuentren en sistemas o entornos de Servicios Oracle. En las descripciones de los Servicios aplicables se proporciona información adicional sobre la funcionalidad de eliminación de datos.

II. TÉRMINOS DEL PROCESAMIENTO DE DATOS DE OPERACIONES DE SISTEMAS

1. Responsabilidad y finalidad del procesamiento de la información personal

Oracle Corporation y sus entidades afiliadas son responsables del procesamiento de la información personal que puede encontrarse de forma casual en los Datos de Operaciones de Sistemas de acuerdo con las secciones II y III de esta Política. Ver la lista de entidades de Oracle. Seleccione una región y un país para ver la dirección registrada y los detalles de contacto de la entidad o entidades de Oracle ubicadas en cada país.

Podremos recopilar o generar Datos de Operaciones de Sistemas para:

• a) garantizar la seguridad de nuestros Servicios, lo que incluye supervisar la seguridad y gestionar identidades;
• b) investigar y evitar posibles fraudes o actividades ilegales con nuestros sistemas y redes, lo que incluye evitar ciberataques y detectar bots;
• c) administrar nuestros planes y políticas de seguridad de recuperación ante desastres;
• d) confirmar el cumplimiento de licencias y otras condiciones de uso (supervisión del cumplimiento de licencias);
• e) fines de investigación y desarrollo, lo que incluye analizar, desarrollar, mejorar y optimizar nuestros Servicios, y
• f) cumplir con las leyes y regulaciones aplicables y operar nuestro negocio, incluyendo el cumplimiento de solicitudes de informes, divulgación u otros procesos legales legalmente obligatorias, para fines de fusiones y adquisiciones, finanzas y contabilidad, archivo y seguros, consultoría legal y empresarial y en el contexto de la resolución de disputas.

En el caso de información personal que se encuentra en los Datos de Operaciones de Sistemas recopilados en la UE, nuestro fundamento jurídico para procesar dicha información es nuestro interés legítimo en la realización, la conservación y la seguridad de nuestros productos y servicios, y la realización de nuestras actividades comerciales de una forma eficaz y apropiada. La información personal se podrá procesar según nuestras obligaciones legales o nuestro interés legítimo en cumplir dichas obligaciones legales.

2. Intercambio de información personal

La información personal que se encuentra en los Datos de Operaciones de Sistemas se podrá compartir en toda la organización de Oracle a nivel global. Puede acceder a la lista de entidades de Oracle como se ha indicado anteriormente.

También podremos compartir dicha información personal con terceros en los siguientes casos:

• proveedores de servicios externos (por ejemplo, proveedores de servicios de TI, abogados y auditores) para que estos puedan realizar funciones comerciales en nombre de Oracle;
• terceros relevantes en caso de una reorganización, fusión, venta, empresa conjunta, cesión, transferencia u otra disposición de todo o parte de nuestro negocio, activos o acciones (incluso en relación con cualquier bancarrota o procedimiento similar);
• según lo exige la ley, como para cumplir con una citación u otro proceso legal, cuando creemos de buena fe que la divulgación es necesaria para proteger nuestros derechos, la seguridad de otros, investigar un fraude o responder a solicitudes del gobierno, incluidas autoridades públicas y gubernamentales fuera de su país de residencia, con fines de seguridad nacional y/o aplicación de la ley.

Cuando se dé acceso a terceros a la información personal contenida en los Datos de Operaciones de Sistemas, tomaremos las medidas contractuales, técnicas y organizativas adecuadas para garantizar, por ejemplo, que la información personal solo se procesa en la medida en que sea necesario, de acuerdo con esta Política de Privacidad y la ley aplicable.

3. Transferencias de datos transfronterizas

Si la información personal que se encuentra en los Datos de Operaciones de Sistemas se transfiere a un destinatario de Oracle ubicado en un país que no garantice un nivel de protección adecuado para dicha información, Oracle tomará las medidas pertinentes a fin de proteger la información sobre los Usuarios de forma adecuada y se asegurará de que las transferencias de información se sometan a las condiciones previstas en las cláusulas modelo de la UE.

4. Seguridad

Oracle ha implantado las medidas técnicas, físicas y organizativas adecuadas de acuerdo con las prácticas de seguridad corporativa de Oracle diseñadas para proteger la información personal frente a la destrucción accidental o ilícita, o la pérdida accidental, el daño, la modificación, la difusión o el acceso no autorizado, así como frente a todas las demás formas de procesamiento ilícito (entre otras, la recopilación innecesaria) o procesamiento posterior.

5. Derechos individuales

En la medida en que la información personal sobre Vd. esté contenida en los Datos de Operaciones del Sistema, Vd. podrá solicitar acceso, corregir, actualizar o eliminar la información personal contenida en los Datos de Operaciones del Sistema en ciertos casos, o bien ejercer sus opciones con respecto a la información personal de Vd. rellenando un formulario de consulta. Responderemos a su solicitud de conformidad con la ley aplicable.

Si es residente de California, en virtud de la Ley de Privacidad del Consumidor de California (CCPA), en su versión modificada, puede solicitar a Oracle que:

1. Le revela la siguiente información:

• las categorías y piezas específicas de información personal que recopilamos sobre usted y las categorías de información personal que vendimos, si corresponde;
• las categorías de fuentes de las que recopilamos dicha información personal;
• el propósito comercial o comercial de recopilar o vender información personal; y
• las categorías de terceros a los que vendimos o divulgamos información personal, si procede.

2. elimine la información personal que recopilamos sobre usted o corrija la información personal inexacta sobre usted, a menos que se conserve únicamente con fines legales y de cumplimiento y según lo establecido en la CCPA.

3. cumple con su solicitud de exclusión voluntaria de cualquier venta futura de información personal sobre usted, si corresponde.

Si Vd. es un agente autorizado que realiza una solicitud de acceso o eliminación en nombre de un residente de California, póngase en contacto con nosotros a través del formulario de consulta e indique que es un agente autorizado. Le proporcionaremos instrucciones sobre cómo enviar una solicitud como agente autorizado en nombre de un residente de California.

Si usted envía una solicitud, por favor sea específico en cuanto a qué derecho está afirmando (por ejemplo, acceso, corrección, etc.) y qué piezas específicas de información personal están en el alcance de su solicitud. En algunos casos, para cumplir con la ley aplicable o una obligación legal, Oracle puede denegar su solicitud o puede solicitarle más información para responder a su solicitud.

Si es residente de California, puede obtener información sobre cómo ejercer sus derechos, como se describe anteriormente, contactándonos al 1-800-633-0748. Para obtener información sobre las solicitudes CCPA que Oracle ha recibió, cumplió o denegó durante el año natural anterior, visite la página Informe anual de privacidad del consumidor de Oracle, disponible aquí.

III. COMUNICACIONES Y NOTIFICACIONES A LOS CLIENTES Y USUARIOS

1. Requisitos legales.

Oracle puede verse obligada a proporcionar acceso a los Datos Personales de Servicios y a los datos personales contenidos en los Datos de Operaciones de Sistemas según lo requiera la ley, a fin de cumplir con una citación u otro proceso legal, cuando creamos de buena fe que dicha revelación se realiza de acuerdo con lo establecido en la ley. necesario para proteger nuestros derechos, proteger la seguridad de Vd. o de un Usuario o la seguridad de otros, investigar el fraude o responder a solicitudes gubernamentales, incluidas las autoridades públicas y gubernamentales fuera de Su país de residencia o de un Usuario, con fines de seguridad nacional y/o aplicación de la ley.

Oracle le informará de inmediato de las solicitudes de proporcionar acceso a la Información Personal de Servicios, a menos que la ley exija lo contrario.

2. Director global de protección de datos

Oracle ha nombrado a un Responsable Global de Protección de Datos, que también es Responsable jefe de la privacidad de Oracle. Si usted o un usuario cree que la información personal ha sido utilizada de una manera que no es consistente con esta Política de Privacidad, o si usted o un usuario tiene más preguntas, cualquier comentario o sugerencia relacionados con el tratamiento que Oracle haga de los Datos Personales de Servicios o la información personal contenida en los Datos de Operaciones del Sistema, póngase en contacto con el Delegado de Protección de Datos rellenando un formulario de consulta.

Las consultas por escrito al Delegado de protección de datos global podrán dirigirse a:

Oracle Corporation
Global Data Protection Officer
Willis Tower
233 South Wacker Drive
45th Floor
Chicago, IL 60606
U.S.A.

Para la información personal recopilada DENTRO de la UE/AEMA, las consultas escritas al Delegado de Protección de Datos de la UE pueden dirigirse a:

Robert Niedermeier
Hauptstraße 4
D-85579 Neubiberg / München
Germany

Las consultas sobre la información personal recopilada DENTRO de Brasil deben dirigirse por escrito al Delegado de Protección de datos para Brasil:

Alexandre Sarte
Rua Dr. Jose Aureo Bustamante, 455
Vila São Francisco
São Paulo, BR

3. Presentación de una queja

Si Vd. o un Usuario tienen cualquier reclamación relacionada con el cumplimiento de nuestras prácticas de privacidad y seguridad, póngase en contacto con nosotros a través de nuestro formulario de consulta. Investigaremos e intentaremos resolver cualquier queja y conflicto relacionado con nuestras prácticas de privacidad. Los usuarios también tienen derecho a presentar una queja ante una autoridad de protección de datos competente si residen en un estado miembro de la Unión Europea. Nos comprometemos a remitir las quejas no resueltas sobre nuestro manejo de la Información Personal de Servicios recibida en dependencia del DPF a TRUSTe, un proveedor alternativo de resolución de disputas con sede en los Estados Unidos. Si no recibe el reconocimiento oportuno de su queja relacionada con los Principios del DPF por nuestra parte, o si no hemos abordado su queja relacionada con los Principios del DPF para su satisfacción, visite TRUSTe para obtener más información o para presentar una queja. Estos servicios de resolución de disputas se proporcionan sin costo para usted.

En determinadas condiciones, que se especifican en el sitio web del DPF, los Usuarios pueden recurrir al arbitraje vinculante después de que se hayan agotado otros procedimientos de resolución de conflictos.

4. Cambios a esta Política de Privacidad de Servicios

Esta Política de privacidad se actualizó por última vez el 21 de febrero de 2024. Sin embargo, la Política de Privacidad de Servicios puede cambiar a lo largo del tiempo con el objetivo de, por ejemplo, cumplir con los requisitos legales o cubrir las cambiantes necesidades de negocio. La versión más actualizada se puede encontrar en este sitio web. En caso de que se produzcan cambios materiales, también se lo comunicaremos de cualquier otra forma adecuada (por ejemplo, a través de un aviso emergente o una declaración de cambios en nuestro sitio web) antes de que los cambios se hagan efectivos.

Versiones anteriores: 23/12/22 | 8/5/22 | 9/4/21 | 1/19/21 | 20/10/20 | 3/7/19 | 2/14/19