Adenda sobre el procesamiento global de datos de Instructure

Last Updated: 01 October 2026

La presente Adenda sobre el procesamiento global de datos de Instructure (“APGD”) forma parte del Acuerdo (definido a continuación) entre el Cliente (tal y como se define a continuación) e Instructure, Inc. (o sus filiales; en conjunto, “Instructure”) (cada uno de ellos, una “Parte” y, en conjunto, las “Partes”). El presente APGD entrará en vigor cuando se aplique el Acuerdo.

Las Partes acuerdan que el presente APGD se agregará como adenda al Acuerdo (definido más adelante en la Sección 1). En caso de discrepancia o conflicto entre este APGD y el Acuerdo, prevalecerá el APGD en lo que respecta al objeto de este. Los términos en mayúsculas que no se definan en el presente documento tendrán el significado que se establece en el Acuerdo.

Aplicación del APGD: Este APGD consta de dos partes: el cuerpo principal del APGD y los Adjuntos. Los Adjuntos se aplican tal y como se describe en cada uno de ellos.

• Adjunto 1: Procesamiento de datos
• Adjunto 2: Adenda sobre educación primaria, secundaria y superior en EE. UU.
• Adjunto 3: Adenda sobre EEE y el Reino Unido
• Adjunto 4: Adenda específica de la jurisdicción
• Adjunto 5: Adenda sobre Clientes de los servicios de investigación de LearnPlatform

1. Definiciones. En este APGD, los siguientes términos tendrán los significados que se indican a continuación:
   1. “Afiliados” se refiere a toda entidad que esté controlada por una de las Partes, que controle a una de las Partes o que esté bajo el control común de una de las Partes.
   2. “Acuerdo” se refiere al Formulario de pedido de servicios de Instructure, a los Términos y condiciones estándar de Instructure o a cualquier otro acuerdo escrito o electrónico vigente entre las Partes.
   3. “Datos de la cuenta” se refiere a los Datos personales de los empleados, el personal, los contratistas, los contactos comerciales o los agentes del Cliente que se vinculan a la relación del Cliente con Instructure, lo que incluye, entre otros, los nombres o la información de contacto de aquellas personas autorizadas por el Cliente para acceder a su cuenta en nombre de este, así como la información de contacto y de facturación de las personas que el Cliente haya asociado a su cuenta. Los Datos de la cuenta también incluyen, entre otros, todo Dato personal que Instructure pueda necesitar tratar para prestar servicios de asistencia o como parte de su obligación legal de conservar registros.
   4. “Cliente” se refiere a la entidad que ha firmado un Acuerdo con Instructure.
   5. “Datos personales del Cliente” se refiere a los Datos personales que brinda el Cliente o que se brindan en su nombre para que Instructure los procese en calidad de Procesador en el marco de la prestación de los servicios. Este término excluye los Datos de la cuenta.
   6. “Controlador” se refiere a la entidad que determina los fines y los medios del Procesamiento de Datos personales.
   7. “Procesador” se refiere a la entidad que Procesa Datos personales en nombre de un Controlador.
   8. “Leyes de protección de datos” se refiere a las leyes y reglamentos aplicables al Procesamiento de Datos personales en virtud del Acuerdo.
   9. “Interesado” se refiere a la persona física cuyos Datos personales procesa Instructure en virtud del Acuerdo.
   10. “Solicitud de Interesado” se refiere a una solicitud que realiza un Interesado o que se realiza en su nombre para ejercer los derechos que le otorgan las Leyes de protección de datos.
   11. “Datos anonimizados” y “Anonimización” se refieren a los datos y la información en los que se han eliminado u ocultado todos los Datos personales, de modo que la información restante no permita identificar de manera razonable a una persona específica, lo que incluye, entre otros, toda información que, por sí sola o en combinación con otra, pueda vincularse a un Interesado específico.
   12. “Datos personales” se refiere a toda información que se relaciona con una persona identificada o razonablemente identificable.
   13. “Procesamiento” se refiere a toda operación o conjunto de operaciones que se realice sobre los Datos personales, ya sea por medios automáticos o no, tales como la recolección, el registro, la organización, el almacenamiento, la adaptación o la modificación, la recuperación, la consulta, el uso, la divulgación por transmisión, la difusión o cualquier otra forma de puesta a disposición, la alineación o la combinación, el bloqueo, la supresión o la destrucción (“Procesar”, “Procesos” y “Procesado” tendrán el mismo significado).
   14. “Vender”, “Vendiendo”, “Venta” y “Vendido” tendrán los significados que se establecen en las Leyes de protección de datos.
   15. “Violación de la seguridad” se refiere a una violación de la seguridad que da lugar a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a los Datos personales del Cliente transmitidos, almacenados o procesados, de otro modo, por Instructure.
   16. “Servicios” se refiere al software propietario de Instructure como ofertas de servicios disponibles mediante una URL en un entorno alojado puesto a disposición por Instructure al Cliente o en nombre de este, e identificado en el Acuerdo.
   17. “Subprocesadores” se refiere a todo tercero que procese los Datos personales del Cliente para Instructure o en nombre de este.
2. Plazo y rescisión. El presente APGD entrará en vigor en la fecha en que el Cliente firme el Acuerdo. Permanecerá vigente hasta que se rescinda o hasta que Instructure elimine todos los Datos personales del Cliente.
3. Procesamiento de los Datos personales.
   1. Instructure como Procesador de los Datos personales del Cliente.  Las Partes acuerdan que, en lo que respecta al Procesamiento de los Datos personales del Cliente, el Cliente es el Controlador e Instructure es el Procesador. El objetivo del Procesamiento de los Datos personales del Cliente, cuando Instructure actúa como Procesador, es la prestación de los servicios conforme a lo establecido en el Acuerdo. Instructure solo Procesará los Datos personales del Cliente en nombre del Acuerdo y las instrucciones escritas del Cliente, y de conformidad con estos, a menos que así lo exija la legislación a la que esté sujeta Instructure; en tal caso, Instructure informará al Cliente de dicho requisito legal antes del Procesamiento, a menos que dicha legislación prohíba esa notificación. Instructure cumplirá las Leyes de protección de datos aplicables y, cuando así lo exijan dichas leyes, garantizará un nivel de protección de la privacidad equivalente al exigido al Cliente en virtud de estas. Entre Instructure y el Cliente, el Cliente conserva toda la propiedad de los Datos personales del Cliente.
   2. Instrucciones del Cliente.  El Cliente instruye a Instructure para que Procese los Datos personales del Cliente con los siguientes fines: (a) el Procesamiento de conformidad con el Acuerdo y las Leyes de protección de datos; y (b) el cumplimiento de otras instrucciones razonables proporcionadas por el Cliente, siempre que dichas instrucciones sean coherentes con los términos del Acuerdo y las Leyes de protección de datos. Instructure notificará de inmediato al Cliente en caso de que determine que alguna de las instrucciones del Cliente infringe las Leyes de protección de datos. Si Instructure determina que ya no puede cumplir con las Leyes de protección de datos, lo notificará de inmediato al Cliente.
   3. Consentimientos para el Procesamiento de los Datos personales del Cliente.  El Cliente declara y garantiza haber cumplido con todas las Leyes de protección de datos aplicables, lo que incluye, entre otros, la obligación de proporcionar todos los avisos y de obtener todos los consentimientos y derechos necesarios conforme a dichas leyes, de modo que Instructure pueda Procesar los Datos personales del Cliente en la prestación de los Servicios. En caso de que el Cliente determine que la declaración, garantía y compromiso anteriores resultan inexactos respecto de algún Dato personal del Cliente, se lo notificará de inmediato a Instructure. A menos que lo prohíban las leyes aplicables, el Cliente indemnizará a Instructure por todas las reclamaciones que se deriven directamente de los incumplimientos sustanciales de la presente Sección 3.3 por parte del Cliente, sus empleados, agentes, contratistas, subprocesadores o subcontratistas. El incumplimiento de la presente Sección 3.3 se considerará un incumplimiento sustancial de este APGD.
   4. Instructure como Controlador de los Datos de la cuenta.  Las Partes acuerdan que, en lo que respecta al Procesamiento de los Datos de la cuenta, tanto el Cliente como Instructure son Controladores independientes (y no conjuntos). Instructure procesará los Datos de la cuenta en calidad de Controlador con el fin de (a) gestionar la relación con el Cliente; (b) llevar a cabo las operaciones comerciales de Instructure, tales como la facturación, la contabilidad y la presentación de impuestos, entre otros; (c) detectar, prevenir o investigar incidentes de seguridad, fraudes y otros abusos o usos indebidos de los Servicios; (d) prestar servicios de asistencia al usuario final; (e) cumplir con las obligaciones legales o reglamentarias de Instructure; (f) ejercer sus derechos y cumplir con sus obligaciones en virtud del Acuerdo; (g) mejorar, solucionar problemas y comercializar sus productos y servicios; y (h) según lo permitan las Leyes de protección de datos aplicables y de conformidad con este APGD, celebrar el Acuerdo y el Aviso de privacidad del producto de Instructure.
   5. Prohibición de Venta.  Instructure no Venderá ni compartirá, con fines publicitarios específicos, los Datos personales del Cliente, salvo que este lo indique expresamente. Instructure no combinará los Datos personales del Cliente con otros Datos personales, salvo en la medida en que lo permitan las Leyes de protección de datos. Instructure no recopilará, conservará, usará ni divulgará, de ningún otro modo, los Datos personales del Cliente fuera de la relación comercial directa con este, y solo Procesará estos datos para fines limitados y específicos, de conformidad con el presente APGD y el Acuerdo.
   6. Obligaciones del Cliente.  El Cliente, en su uso o recepción de los Servicios, Procesará los Datos personales del Cliente y los Datos de la cuenta de conformidad con las Leyes de protección de datos aplicables, y se asegurará de que sus instrucciones para el Procesamiento de los Datos personales del Cliente cumplan con las Leyes de protección de datos aplicables. El Cliente será el único responsable de (a) la exactitud, calidad y legalidad de los Datos personales del Cliente y los Datos de la cuenta; (b) los medios por los que el Cliente obtuvo los Datos personales del Cliente y los Datos de la cuenta y (c) el cumplimiento de todos los requisitos establecidos en las Leyes de protección de datos necesarios para poner los Datos personales del Cliente y los Datos de la cuenta a disposición de Instructure para su Procesamiento, tal y como se establece en el presente documento y en el Acuerdo. El Cliente notificará de inmediato a Instructure todo acceso no autorizado a los Servicios del que tenga conocimiento. El Cliente ayudará a Instructure en los esfuerzos que este realice para investigar todo acceso no autorizado a los Servicios y responder a este.
   7. Términos específicos de la jurisdicción.  En la medida en que Instructure Procese Datos personales procedentes de una de las jurisdicciones enumeradas en el Adjunto 4 (Términos específicos de la jurisdicción), se aplicarán los términos especificados en el Adjunto 4 (Términos específicos de la jurisdicción) con respecto a las jurisdicciones aplicables, además de los términos del presente APGD.
4. Asistencia al Cliente y derechos de los Interesados.
   1. En la medida en que el Cliente, en su uso o recepción de los Servicios, no tenga la capacidad de tomar las medidas necesarias para cumplir con las Leyes de protección de datos, lo que incluye (a) el cumplimiento de las Solicitudes de Interesado, y (b) la implementación de medidas de seguridad razonables diseñadas para proteger los Datos personales del Cliente, Instructure hará todos los esfuerzos comercialmente razonables para cumplir con las Solicitudes razonables del Cliente en la medida en que lo exijan las Leyes de protección de datos e Instructure esté legalmente autorizada a hacerlo, teniendo en cuenta la naturaleza del Procesamiento de los Datos personales del Cliente y la información de la que dispone Instructure.
   2. Instructure, en la medida en que lo permita la ley, notificará, sin demora, al Cliente si recibe una Solicitud de Interesado. Instructure no responderá a ninguna Solicitud de Interesado relacionada con los Datos personales del Cliente sin el consentimiento previo por escrito de este, salvo para confirmar que la solicitud se refiere al Cliente o cuando así lo exijan las Leyes de protección de datos. Instructure proporcionará al Cliente asistencia comercialmente razonable en el tratamiento de una Solicitud de Interesado, en la medida en que (a) lo permita la ley y (b) el Cliente no tenga acceso a dichos Datos personales del Cliente mediante el uso o la recepción de los Servicios, teniendo en cuenta la naturaleza del Procesamiento de los Datos personales del Cliente y la información de la que dispone Instructure.
   3. Instructure, con previo aviso por escrito, hará todo lo posible para permitir que el Cliente tome las medidas razonables y adecuadas con el fin de (a) detener y solucionar el procesamiento no autorizado de los Datos personales del Cliente tras la notificación de este y (b) garantizar que Instructure Procese los Datos personales del Cliente de manera coherente con las obligaciones del Cliente en virtud de las Leyes de protección de datos.
5. Personal de Instructure.  Instructure hará todo lo comercialmente posible para garantizar que los empleados que participan en el Procesamiento de los Datos personales del Cliente estén sujetos a obligaciones contractuales o legales de confidencialidad y que el acceso a los Datos personales del Cliente se limite a aquellos empleados que lo necesiten para prestar los Servicios. Instructure se asegurará de que el personal que participe en el Procesamiento de los Datos personales del Cliente obtenga información sobre la naturaleza confidencial de dichos datos y haya recibido la capacitación adecuada sobre sus responsabilidades. Tal y como exigen las Leyes de protección de datos, Instructure se asegurará de que los empleados hayan superado las comprobaciones de antecedentes pertinentes antes de acceder a los Datos personales del Cliente. Instructure tomará las medidas comercialmente razonables para garantizar la confiabilidad de todos los miembros del personal que participen en el Procesamiento de los Datos personales del Cliente.
6. Subprocesadores.
   1. Salvo en los casos permitidos en el presente APGD o en el Acuerdo, Instructure no transferirá ni pondrá a disposición de terceros los Datos personales del Cliente sin la autorización previa por escrito del Cliente.
   2. El Cliente otorga la autorización general a Instructure para usar a las Filiales de Instructure como Subprocesadores, y a los Subprocesadores en relación con la prestación de los Servicios, siempre que (a) Instructure se asegure de que se impongan a sus Subprocesadores obligaciones que no sean sustancialmente menos protectoras que las establecidas en el presente APGD; (b) Instructure sea responsable ante el Cliente por los actos y omisiones de sus Subprocesadores como si, y en la misma medida en que Instructure fuera responsable, prestara los servicios de cada Subprocesador de manera directa en virtud de los términos del presente APGD, salvo que se establezca lo contrario en el Acuerdo; y (c) Instructure proporcionará la lista de sus Subprocesadores, ya sea previa solicitud o mediante un enlace a un sitio web en el que se mantenga actualizada la información sobre dichos Subprocesadores.
   3. Instructure informará al Cliente de toda sustitución o incorporación de sus Subprocesadores, como mínimo, 30 días antes de dicho cambio. El Cliente podrá oponerse a dichos cambios (por motivos razonables) mediante notificación por escrito a Instructure en un plazo de 30 días a partir de la recepción de la notificación de Instructure. Instructure no usará el Subprocesador propuesto para Procesar los Datos personales del Cliente hasta que se hayan tomado medidas razonables para atender las objeciones del Cliente y se le haya proporcionado una explicación razonable por escrito de las medidas tomadas.
7. Seguridad, auditorías y evaluaciones de impacto sobre la protección de datos.

2. Seguridad.  Instructure mantendrá las medidas técnicas y organizativas adecuadas para la protección de la seguridad (incluida la protección contra el Procesamiento no autorizado o ilícito y contra la destrucción, pérdida, alteración o daño accidentales o ilícitos, la divulgación no autorizada o el acceso no autorizado a los Datos personales del Cliente o a los Datos de la cuenta), la confidencialidad y la integridad de los Datos personales del Cliente y los Datos de la cuenta, tal y como se establece en la documentación de seguridad de Instructure. Instructure supervisa de manera periódica el cumplimiento de estas medidas. Instructure no reducirá de manera significativa la seguridad general de los Servicios durante la vigencia del Acuerdo.
3. Auditorías.  Primero, el Cliente hará todo lo posible por satisfacer sus necesidades de auditoría mediante (a) copias del reporte de auditoría SOC-2 de tipo II más reciente de Instructure, su certificado público ISO 27001; (b) un resumen de las prácticas operativas de Instructure relacionadas con la protección y la seguridad de los datos; (c) un resumen de la prueba de penetración anual más reciente; y (d) la disponibilidad razonable del personal de Instructure para mantener foros de discusión relacionados con la seguridad.
   1. El Cliente podrá contratar mediante acuerdo mutuo, como máximo una vez al año, a un tercero para auditar a Instructure con el único fin de cumplir con sus requisitos de auditoría de conformidad con las Leyes de protección de datos (“Auditoría”), siempre y cuando el Cliente o sus representantes externos estén sujetos de manera contractual a obligaciones de confidencialidad con respecto a la información de dicha Auditoría. El Cliente deberá proporcionar, sin demora, a Instructure la información relativa a todo incumplimiento descubierto durante la Auditoría. Con el fin de solicitar una Auditoría, el Cliente debe entregar un plan detallado, como mínimo, 3 semanas antes de la fecha propuesta para la Auditoría en el que se debe describir el alcance, la duración y la fecha de inicio de esta. Las solicitudes de Auditoría deben enviarse a security@Instructure.com con copia a privacy@instructure.com. La Auditoría debe realizarse durante el horario laboral habitual, de conformidad con las políticas de Instructure, y no debe interferir de manera injustificada en las actividades comerciales de Instructure. El Cliente debe encargarse de pagar la Auditoría.
   2. Si dicha Auditoría requiere el uso de recursos de Instructure diferentes o adicionales a los exigidos por las Leyes de protección de datos, el Cliente reembolsará a Instructure el tiempo dedicado a la auditoría según las tarifas acordadas por las Partes. Todas las tarifas de reembolso serán razonables, teniendo en cuenta los recursos gastados por Instructure o en su nombre. 
   3. Ningún derecho de Auditoría en virtud de la presente Sección 7.3 obligará a Instructure a revelar al Cliente o a sus auditores externos (a) ninguna información de ningún otro Cliente de Instructure; (b) ninguna información contable o financiera interna, salvo que se acuerde lo contrario por escrito; (c) ningún secreto comercial; ni (d) ninguna información que pueda comprometer la seguridad de los sistemas o la información de Instructure, o que pueda dar lugar a que Instructure incumpla ninguna ley aplicable u obligación contractual.
4. Evaluaciones de impacto sobre la protección de datos.  Previa solicitud por escrito del Cliente, Instructure proporcionará al Cliente la cooperación y asistencia razonables necesarias para cumplir con las obligaciones del Cliente en virtud de las Leyes de protección de datos para llevar a cabo una evaluación de impacto sobre la protección de datos u otra evaluación de privacidad obligatoria relacionada con el uso de los Servicios por parte del Cliente, en la medida en que el Cliente no tenga acceso a la información pertinente y en la medida en que dicha información esté disponible para Instructure.

8. Restricciones en la recepción de información.  Ninguna disposición del presente APGD obligará a Instructure a revelar (a) ningún dato o información de ningún otro cliente de Instructure, ni de ningún tercero que no participe directamente en la prestación de los Servicios; (b) ninguna información contable o financiera confidencial; (c) ningún secreto comercial de Instructure; ni (d) ninguna información que, en opinión razonable de Instructure, pudiera (i) comprometer la seguridad de las redes, los sistemas o las instalaciones de Instructure, (ii) hacer que Instructure incumpla sus obligaciones de seguridad o privacidad con terceros, o (iii) ninguna información solicitada por motivos distintos a los expuestos en el presente APGD. Instructure puede exigir al Cliente que acepte términos y condiciones razonables antes de proporcionar informes de Auditoría en virtud del presente APGD.
9. Gestión y notificación de violaciones de seguridad.  En caso de producirse una infracción de la seguridad, Instructure deberá: (a) notificar al Cliente la infracción de la seguridad sin demora injustificada tras tener conocimiento de esta, y dicha notificación debe incluir, como mínimo, la información exigida por las Leyes de protección de datos; (b) investigar la infracción de seguridad y proporcionar al Cliente información sobre esta; y (c) tomar medidas comercialmente razonables para mitigar los efectos y minimizar todo daño resultante de la infracción de seguridad, y permitir al Cliente tomar medidas razonables y adecuadas para hacer lo mismo en la medida en que dichas medidas estén bajo el control del Cliente. Instructure cooperará con el Cliente y con cualquier tercero designado por el Cliente para responder a la infracción de seguridad.
10. Datos anonimizados:  Instructure podrá usar los Datos anonimizados con los fines permitidos por la Ley de protección de datos y con los siguientes fines: (a) ayudar al Cliente u otras agencias gubernamentales a realizar investigaciones y otros estudios; (b) investigar y desarrollar los sitios, servicios o aplicaciones educativos de Instructure y demostrar o mejorar la eficacia de los Servicios; y (c) con fines de aprendizaje adaptativo y para personalizar el aprendizaje de los estudiantes. El uso que Instructure haga de los Datos anonimizados permanecerá vigente tras la terminación del presente APGD o tras cualquier solicitud del Cliente de devolución o destrucción de sus Datos personales. Instructure se compromete a (i) no intentar reidentificar los Datos anonimizados y (ii) no transferir los Datos anonimizados a ninguna parte, a menos que dicha parte se comprometa por escrito a no intentar reidentificarlos.
11. Solicitudes de acceso por parte del gobierno.  Si Instructure recibe por parte de una autoridad pública una solicitud legalmente vinculante para acceder a los Datos personales del Cliente, Instructure, salvo que lo prohíba la ley, lo notificará de inmediato al Cliente y resumirá la naturaleza de la solicitud. En la medida en que Instructure tenga prohibido proporcionar dicha notificación, Instructure hará todo lo comercialmente posible para obtener una exención de la prohibición que le permita comunicarse con el Cliente. Instructure impugnará dicha solicitud si, tras una evaluación cuidadosa, concluye que existen motivos razonables para considerar que dicha solicitud es ilegal. Instructure se compromete a proporcionar únicamente la cantidad mínima de información permitida al responder a una solicitud de divulgación de una autoridad pública, conforme a una interpretación razonable de dicha solicitud. Instructure notificará de inmediato al Cliente si tiene conocimiento de algún acceso directo de una autoridad pública a los Datos personales del Cliente y proporcionará la información de la que disponga al respecto, en la medida en que la ley lo permita.
    1. El presente APGD no obligará a Instructure a emprender acciones que puedan dar lugar a sanciones civiles o penales para Instructure como, por ejemplo, desacato al tribunal, ni a abstenerse de hacerlo. Instructure certifica que (a) no ha creado de forma deliberada “puertas traseras” ni programas similares con el fin de permitir el acceso a los Servicios o a los Datos personales por parte de ninguna autoridad pública, (b) no ha creado ni modificado de forma deliberada sus procesos comerciales de manera que facilite el acceso a los Servicios o a los Datos personales del Cliente por parte de ninguna autoridad pública, y (c) a la Fecha de entrada en vigor, no tiene conocimiento de ninguna ley nacional ni política gubernamental que exija a Instructure crear o mantener “puertas traseras”, o facilitar el acceso a los Servicios o a los Datos personales del Cliente, o entregar ninguna clave de cifrado a ninguna autoridad pública.
12. Devolución y eliminación de los Datos personales del Cliente.  En un plazo de 90 días tras la rescisión o expiración del Acuerdo, Instructure proporcionará al Cliente la funcionalidad necesaria para descargar los Datos personales del Cliente almacenados en los Servicios en la medida de lo posible o eliminará de forma segura dichos datos de conformidad con las políticas de retención de datos de Instructure, que cumplen con los requisitos de las Leyes de protección de datos, y de manera coherente con los términos del Acuerdo.
13. Cláusula de salvedad.  Si alguna disposición del presente APGD fuera inválida o inaplicable, el resto del APGD seguirá siendo válido y vigente. La disposición inválida o inaplicable se modificará según sea necesario para garantizar su validez y aplicabilidad, con el fin de preservar, en la mayor medida posible, las intenciones de las Partes o, si ello no fuera posible, se interpretará como si la parte inválida o inaplicable nunca hubiera estado incluida en este.
14. Efecto legal.  El presente APGD solo será legalmente vinculante entre el Cliente e Instructure cuando ambas partes firmen el Acuerdo.
15. Limitación de responsabilidad.  En la medida en que lo permitan las Leyes de protección de datos, las medidas correctivas del Cliente respecto de toda infracción de Instructure o de sus Filiales a los términos de este APGD o a las Leyes de protección de datos estarán sujetas a las limitaciones de responsabilidad agregadas aplicables a Instructure o al Cliente en virtud del Acuerdo.

Adjunto 1: Procesamiento de datos

1. Adjunto de los datos. A continuación, se describen los siguientes elementos de Datos personales procesados por los Servicios.

Sección 2: Descripción del procesamiento y la transferencia (cuando se transfieren datos)

Adjunto 2: Adenda sobre educación primaria, secundaria y superior en EE. UU.

El presente Adjunto 2 se aplica a los Clientes clasificados como instituciones educativas de educación primaria, secundaria o superior con sede en EE. UU., reconocidas por el gobierno y acreditadas de manera oficial, que expiden certificados o diplomas aprobados a nivel nacional en los niveles primario, secundario o terciario, y complementa el APGD al que se adjunta.

1. Definiciones. Además de los términos definidos en el APGD, las siguientes definiciones se aplican al presente Adjunto 2.
   1. “Expedientes académicos” se refiere a los expedientes, archivos, documentos y otros materiales directamente relacionados con un estudiante y conservados por el Cliente, o por una persona que actúe en nombre del Cliente según se define en la Ley de Derechos Educativos y Privacidad Familiar (FERPA).
   2. “Funcionario escolar”, a los efectos de este Adjunto y de conformidad con 34 CFR § 99.31(b), un Funcionario escolar es un contratista que (a) realiza un servicio o función institucional para la que la agencia o institución usaría, de otro modo, a sus empleados; (b) está bajo el control directo de la agencia o institución con respecto al uso y mantenimiento de los datos de los estudiantes, incluidos los registros educativos; y (c) está sujeto a 34 CFR § 99.33(a) que regula el uso y la divulgación de información de identificación personal de los Expedientes académicos.
   3. “Datos del estudiante” se refiere a todos dato, ya sea recopilado por Instructure o proporcionado por el Cliente o sus usuarios de los Servicios, que describa a un estudiante, lo que incluye, entre otros, la información del Expediente académico del estudiante, su dirección de correo electrónico, nombre y apellido, fecha de nacimiento, domicilio u otra dirección física, número de teléfono u otra información que permita el contacto directo o en línea, videos, resultados de exámenes, datos de educación especial, calificaciones, evaluaciones, discapacidades, información socioeconómica, documentos, identificadores de estudiantes, actividad de búsqueda, fotos, grabaciones de voz, información de geolocalización, nombres de los padres o cualquier otra información o número de identificación que proporcione información sobre un estudiante específico. Los Datos de los estudiantes incluyen metadatos que no están anonimizados. Los datos de los estudiantes también incluyen “Información de identificación personal” (IIP), tal y como se define en 34 C.F.R. § 99.3 o en alguna ley estatal estadounidense aplicable. Los Datos del estudiante constituirán Expedientes académicos a los efectos del presente APGD y a los efectos de las leyes y reglamentos federales, estatales y locales de EE. UU. Se confirma que Instructure recopila o procesa los Datos del estudiante especificados en el Adjunto 1 de conformidad con los Servicios. Los Datos del estudiante no constituirán información que haya sido anonimizada o desidentificada, ni datos de uso anónimos relativos al uso de los Servicios por parte de un usuario.
   4. “Contenido generado por el estudiante” se refiere a los materiales o contenidos creados por un estudiante en los Servicios, lo que incluye, entre otros, ensayos, reportes de investigación, portafolios, escritos creativos, archivos de música u otros archivos de audio, fotografías y videos. El Contenido generado por el estudiante no incluye las evaluaciones.
2. FERPA. En la medida en que el Cliente esté sujeto a la FERPA, las Partes acuerdan que Instructure opera como Funcionario escolar en virtud de la FERPA y tiene un interés educativo legítimo en la información de identificación personal de los Expedientes académicos recibidos del Cliente de conformidad con el presente APGD. A los efectos del Acuerdo y del presente APGD, Instructure: (a) presta un servicio o desempeña una función para la que el Cliente recurriría, de otro modo, a sus empleados; (b) está bajo el control directo del Cliente en lo que respecta al uso y mantenimiento de los Expedientes académicos; y (c) está sujeto a los requisitos de la FERPA que rigen el uso y la divulgación de la información de identificación personal contenida en los expedientes académicos recibidos del Cliente.
3. Acceso parental.  En la medida en que lo exijan las Leyes de protección de datos, Instructure establecerá procedimientos razonables mediante los que los padres, tutores legales o estudiantes elegibles (según se define en la FERPA) puedan revisar los Expedientes académicos o los Datos del estudiante, corregir información errónea y establecer procedimientos para la transferencia del Contenido generado por el estudiante a una cuenta personal, de conformidad con la funcionalidad de los Servicios. Instructure responderá dentro de un plazo razonablemente oportuno, contado desde la fecha de la solicitud o conforme al plazo exigido por la Ley de protección de datos para que un Cliente atienda la solicitud de un padre, madre, tutor legal o estudiante elegible (lo que ocurra primero) a la solicitud del Cliente de acceder a los Datos del Estudiante contenidos en un Expediente académico en poder de Instructure, o de corregirlos. Si un padre, madre o tutor legal de un estudiante o estudiante elegible se pone en contacto con Instructure para revisar alguno de los Datos del estudiante a los que se ha accedido de conformidad con los Servicios, Instructure remitirá a la persona que realiza la solicitud al Cliente para que acceda a dichos Expedientes académicos o Datos del estudiante.
4. Cuenta independiente.  En la medida en que lo exijan las Leyes de protección de datos, si Instructure almacena o mantiene Contenido generado por el estudiante, Instructure, a pedido del Cliente, transferirá o proporcionará un mecanismo para que el Cliente transfiera dicho Contenido generado por el estudiante a una cuenta independiente que haya creado el estudiante de acuerdo con la funcionalidad de los Servicios.
5. Obligaciones del Cliente.  El Cliente proporcionará los Datos del estudiante con el fin de obtener los Servicios, de conformidad con todas las Leyes de protección de datos aplicables.
6. Privacidad de los niños. Los menores de 13 años solo podrán usar los Servicios con el consentimiento previo de uno de sus padres o de una institución educativa que actúe en nombre de los padres del menor. El Cliente se compromete a obtener dicho consentimiento antes de permitir que algún menor de 13 años acceda a los Servicios o haga uso de ellos.
7. Adjunto de los datos. La lista de Datos del estudiante procesados por Instructure se describe en el Adjunto 1.

Adjunto 3: Adenda sobre el EEE y el Reino Unido

El presente Adjunto 3 se aplicará si el Cliente se encuentra en el EEE o el Reino Unido, o está sujeto a la jurisdicción de las Leyes de protección de datos del EEE o del Reino Unido, y complementa el APGD al que se adjunta.

1. Definiciones. Además de los términos definidos en el APGD, las siguientes definiciones se aplican al presente Adjunto 3.
   1. “EEE” se refiere al Espacio Económico Europeo, compuesto por los Estados miembros de la Unión Europea e Islandia, Liechtenstein y Noruega.
   2. “RGPD” se refiere al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE y su equivalente en el Reino Unido.
   3. “Marco de Protección de Datos” se refiere al Marco de Privacidad de Datos UE-EE. UU (“EU-US DPF”), al Marco de Protección de Datos Suiza-EE. UU. y a la ampliación del Reino Unido al programa de autocertificación EU-US DPF gestionado por el Departamento de Comercio de EE. UU.
   4. “Principios de privacidad de los datos” se refiere a los principios del Marco de Privacidad de los Datos (en conjunto con los Principios complementarios).
   5. “Cláusulas contractuales estándar” se refiere a las cláusulas contractuales emitidas por la Comisión Europea mediante la Decisión de Ejecución 2021/914, del 4 de junio de 2021, sobre cláusulas contractuales estándar para la transferencia de datos personales a terceros países de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, la Adenda sobre transferencia internacional de datos del Reino Unido (“Adenda del Reino Unido”) y toda medida similar promulgada de conformidad con el RGPD para abordar la transferencia de Datos personales a un tercer país, así como cualquier modificación y reemplazo de estas que pueda promulgarse ocasionalmente.
   6. “Medidas complementarias” se refiere a las medidas técnicas, organizativas y contractuales descritas en la Pauta del CEPD adoptada el 18 de junio de 2021, las Recomendaciones 01/2020 sobre medidas que complementan las herramientas de transferencia para garantizar el cumplimiento del nivel de protección de Datos personales de la UE.
   7. “Tercer país” se refiere a todo país que no forma parte del EEE ni del Reino Unido, ni ha sido declarado adecuado por una decisión de la Comisión Europea de conformidad con el mecanismo descrito en el Artículo 45 del RGPD, ni tiene el amparo de la normativa de adecuación del Reino Unido.
   8. “Reino Unido” se refiere al Reino Unido, Gales e Irlanda del Norte.
2. Instructure como Procesador de los Datos personales del Cliente. La duración, la naturaleza y finalidad del Procesamiento, los tipos de Datos personales y las categorías de Interesados sobre los que se Procesan Datos personales en virtud del presente APGD se especifican con más detalle en el Adjunto 1.
3. Transferencias transfronterizas de datos. El Cliente reconoce y acepta que la prestación de los Servicios puede requerir la transferencia y el Procesamiento de los Datos personales y los Datos de la cuenta del Cliente a un tercer país. Todas las transferencias a un Tercer país están sujetas a las siguientes condiciones: (a) el Cliente ha dado su autorización previa para la transferencia mediante la firma del Acuerdo; (b) los Datos personales y los Datos de la cuenta del Cliente se procesan de conformidad con los términos del Acuerdo y del presente APGD; (c) existe un mecanismo de transferencia válido de conformidad con las Leyes de protección de datos aplicables; y (d) Instructure aplicará las Medidas complementarias, cuando sea necesario.
4. Orden de prioridad. En caso de que los Servicios tengan la cobertura de más de un mecanismo de transferencia en virtud de las Leyes de protección de datos, la transferencia de los Datos personales del Cliente estará sujeta a un único mecanismo de transferencia, según corresponda, y de conformidad con el siguiente orden de prioridad: (a) el Marco de Privacidad de Datos establecido en la Sección 4.1; (b) las Cláusulas contractuales estándar establecidas en la Sección 4.2; (c) los Términos específicos de la jurisdicción establecidos en el Adjunto 4; y, si no se aplica ninguno de los anteriores (a), (b) o (c), entonces (d) otros mecanismos de transferencia de datos aplicables permitidos por las Leyes de protección de datos.
   1. Marco de Privacidad de Datos. En la medida en que Instructure procese todo Dato personal mediante los Servicios procedente de la UE, el Reino Unido o Suiza, Instructure declara que Instructure, Inc. está autocertificada en virtud del Marco de Privacidad de Datos y cumple con los Principios de Privacidad de Datos al procesar dichos Datos personales. En la medida en que el Cliente (a) se encuentre en los Estados Unidos de América y esté autocertificado en virtud del Marco de Privacidad de Datos, o (b) se encuentre en el EEE, el Reino Unido o Suiza, Instructure se compromete, además, a (i) proporcionar, al menos, el mismo nivel de protección a los Datos personales del Cliente que el exigido por los Principios de Privacidad de Datos; (ii) notificar al Cliente por escrito, sin demora indebida, si su autocertificación en el Marco de Privacidad de Datos es retirada, rescindida, revocada o invalidada de alguna otra forma (en cuyo caso, se aplicarán las Cláusulas contractuales estándar de conformidad con la Sección 4.2); y (iii) previo aviso por escrito, colaborar con el Cliente para tomar medidas razonables y adecuadas para detener y solucionar todo Procesamiento no autorizado de los Datos personales del Cliente.
   2. Cláusulas contractuales estándar: un mecanismo de transferencia válido al que se hace referencia en la Sección 4 es (a) cuando Instructure actúa como Procesador y el Cliente como Controlador, las Cláusulas contractuales estándar, módulo DOS: transferencia del Controlador al Procesador; (b) cuando Instructure actúa como Controlador y el Cliente como Controlador, las Cláusulas contractuales estándar, módulo UNO: transferencia de Controlador a Controlador; (c) y, en ambos casos, la Adenda del Reino Unido adjunto como Apéndice 2 y todo lo anterior se considera incorporado al presente documento por referencia, tal y como se establece a continuación.
      1. Con respecto a las Cláusulas contractuales estándar, las Partes acuerdan lo siguiente: (a) en la cláusula 7, las Partes optan por incluir la “cláusula de acoplamiento”; (b) cuando se aplique el Módulo Dos, en la cláusula 9, las Partes eligen la Opción 2: “autorización general por escrito”; (c) cuando se aplique el Módulo Dos, en la cláusula 9, las Partes eligen 20 (veinte) días como plazo específico; (d) en la cláusula 11, las Partes no eligen el mecanismo de reclamación opcional; (e) en la cláusula 17, la ley aplicable es la ley del Estado miembro de la UE: opción 1: cuando el Cliente esté establecido en un Estado miembro de la UE, la ley de ese Estado miembro de la UE; opción 2: cuando el Cliente no esté establecido en un Estado miembro de la UE, pero haya designado un representante de conformidad con el Artículo 27(1) del RGPD, la ley del Estado miembro de la UE en el que se encuentre el representante del Cliente; u opción 3: cuando el Cliente no esté establecido en un Estado miembro de la UE y no esté obligado a designar un representante de conformidad con el Artículo 27(2) del RGPD, la legislación del Reino Unido, o según se define en el Acuerdo; y en la cláusula 18, el país del tribunal competente en relación con cualquier controversia que surja de las Cláusulas contractuales estándar es el de los tribunales en los que las Partes hayan designado la elección de la legislación aplicable anteriormente.
   3. En la medida en que Instructure use un Subprocesador en un tercer país para el Procesamiento de los Datos personales del Cliente, se aplicará lo siguiente, además de lo dispuesto en la Sección 4 anterior: (a) el Cliente ha dado su autorización previa para la transferencia mediante la firma del Acuerdo; (b) existe un mecanismo de transferencia válido de conformidad con las Leyes de protección de datos; y (c) Instructure pone a disposición del Cliente, sin demora indebida, la información sobre el mecanismo de transferencia y, cuando proceda, las Cláusulas contractuales estándar.

APÉNDICE 1: CLÁUSULAS CONTRACTUALES ESTÁNDAR

Anexo I

A. LISTA DE PARTES

Exportador de datos: según se define en el Acuerdo

Nombre: según se define en el Acuerdo

Domicilio: según se define en el Acuerdo

Nombre, cargo y datos de contacto de la persona de contacto: según se define en el Acuerdo

Actividades pertinentes para los datos transferidos en virtud de estas cláusulas: según se define en el Acuerdo

Firma y fecha: según se define en el Acuerdo

Rol: Controlador

Importador(es) de datos:

Nombre: Instructure, Inc., o Instructure Global Limited

Domicilio:

6330 S 3000 E, Suite 700, Salt Lake City, Utah 84121, EE. UU.

Birchin Court, 5th Floor, 19-25 Birchin Lane, Londres EC3V 9DU, Reino Unido

Nombre, cargo y datos de contacto de la persona de contacto: Funcionario de protección de datos, privacy@instructure.com,

Actividades pertinentes para los datos transferidos en virtud de estas cláusulas: según se define en el Acuerdo.

Firma y fecha: según se define en el Acuerdo

Rol:  Procesador (Datos personales del Cliente) y Controlador (Datos de la cuenta)

B. DESCRIPCIÓN DE LA TRANSFERENCIA. Según se describe en el Adjunto 1.

C. AUTORIDAD SUPERVISORA COMPETENTE. La autoridad supervisora competente es la que se indica en la Sección 4.2.

Anexo II: MEDIDAS TÉCNICAS Y ORGANIZATIVAS, INCLUIDAS LAS MEDIDAS TÉCNICAS Y ORGANIZATIVAS PARA GARANTIZAR LA SEGURIDAD DE LOS DATOS

Las medidas técnicas y organizativas de Instructure se describen en: https://www.instructure.com/trust-center/resources

Anexo III: LISTA DE SUBPROCESADORES

https://community.canvaslms.com/t5/Privacy-Articles/Instructure-s-Third-Party-Processing-Guide/ta-p/606339

APÉNDICE 2: Adenda sobre transferencias internacionales de datos del Reino Unido a las Cláusulas contractuales estándar de la Comisión Europea, VERSIÓN B1.0, en vigor desde el 21 de marzo de 2022

El Comisionado de información emitió esta Adenda para las Partes que realizan transferencias restringidas. El Comisionado de información considera que proporciona las garantías adecuadas para las transferencias restringidas cuando se celebra como un contrato legalmente vinculante.

Parte 1: Tablas

Tabla 1: Partes

Tabla 2: SCC seleccionados, módulos y cláusulas seleccionadas

Tabla 3: Información del Apéndice

“Información del Apéndice” se refiere a la información que debe proporcionarse para los módulos seleccionados, tal y como se establece en el apéndice de las SCC aprobadas por la UE (excepto las Partes), y que para esta Adenda se establece en:

Tabla 4: Finalización de esta Adenda cuando se modifique la Adenda aprobada

Parte 2: Cláusulas obligatorias: cláusulas obligatorias alternativas de la Parte 2:

Adjunto 4: Términos específicos de la jurisdicción

En la medida en que los Servicios impliquen el Procesamiento de Datos personales del Cliente procedentes de los siguientes países, se aplicarán las disposiciones pertinentes que se establecen a continuación y complementarán las disposiciones aplicables del APGD.

1. Disposiciones pertinentes para Turquía. Las disposiciones de esta Sección 1 se aplican cuando Instructure Procesa Datos personales del Cliente procedentes de Turquía.
   1. Instructure cumplirá con las disposiciones aplicables de la Ley de Protección de Datos de Turquía (“LPD de Turquía”) n.º 6698, del 7 de abril de 2016, y toda normativa relacionada, así como con todas las decisiones de la Autoridad de Protección de Datos de Turquía.
   2. Instructure prestará asistencia inmediata al Cliente: (a) aplicando las medidas técnicas y organizativas adecuadas, mientras se pueda, teniendo en cuenta la naturaleza del procesamiento, para cumplir con las obligaciones del Cliente de responder a las solicitudes de los Interesados que ejerzan sus derechos en virtud de la Ley de Protección de Datos aplicable al Cliente (como, entre otros, los derechos de rectificación, supresión o bloqueo de los Datos personales del Cliente); y (b) garantizando el cumplimiento de las obligaciones del Cliente en virtud del Artículo 12 de la Ley de Protección de Datos de Turquía (seguridad, notificación de infracciones de datos personales a las autoridades y a las personas), teniendo en cuenta la naturaleza del Procesamiento y la información de la que Instructure dispone.
   3. Cuando Instructure procese, fuera de Turquía, Datos personales del Cliente procedentes de Turquía y sujetos al APGD turco, Instructure cooperará con el Cliente en todo trámite que exija la Autoridad Turca de Protección de Datos.
2. Disposiciones pertinentes para Suiza. Las disposiciones de esta Sección 2 se aplican cuando Instructure Procesa Datos personales del Cliente o Datos de la cuenta procedentes de Suiza.
   1. La definición de “Ley de protección de datos aplicable” incluye la Ley Federal Suiza de Protección de Datos, en su versión revisada (“LFPD”).
   2. Cuando Instructure contrate a un Subprocesador en virtud de la Sección 6 (Subprocesadores) de este APGD, deberá: (a) exigir a todo Subprocesador designado que proteja los Datos personales del Cliente de conformidad con la normativa aplicable en materia de protección de datos, lo que incluye las obligaciones de protección de datos a las que se refiere el Artículo 28(3) del RGPD, en particular proporcionando garantías suficientes para aplicar las medidas técnicas y organizativas adecuadas de manera que el Procesamiento cumpla los requisitos del RGPD, y (b) exigir a todo Subprocesador designado que (i) se comprometa por escrito a tratar los Datos personales de los Clientes únicamente en un país que Suiza haya declarado que tiene un nivel de protección “adecuado” o (ii) procese los Datos personales del Cliente únicamente en condiciones equivalentes a las cláusulas contractuales estándar de la UE.
   3. En la medida en que las transferencias de Datos personales del Cliente o Datos de cuentas desde Suiza estén sujetas a las Cláusulas contractuales estándar de la UE, se aplicarán las siguientes modificaciones a dichas cláusulas: (a) las referencias a “Estado miembro de la UE” y “Estado miembro” se interpretarán de manera que incluyan a Suiza, y (b) en la medida en que las transferencias posteriores estén sujetas a la LFPD: (i) las referencias al “Reglamento (UE) 2016/679” se interpretarán como referencias a la LFPD; (ii) la “autoridad supervisora competente” del Anexo I, Parte C, será el Comisionado Federal Suizo de Protección de Datos e Información; (iii) en la Cláusula 17 (opción 1), las Cláusulas contractuales estándar de la UE se regirán por la legislación suiza; y (iv) en la Cláusula 18(b) de las Cláusulas contractuales estándar de la UE, las controversias se resolverán ante los tribunales suizos.
3. Disposiciones pertinentes para Australia. Las disposiciones de esta Sección 3 se aplican cuando Instructure Procesa Datos personales del Cliente procedentes de Australia.
   1. “PPA” se refiere a los Principios de Privacidad Australianos de la Ley de Privacidad.
   2. La “Información personal” tiene el significado que se le da a ese término en la Ley de Privacidad.
   3. “Ley de Privacidad” se refiere a la Ley de Privacidad Australiana de 1988 (de la Mancomunidad de Naciones).
   4. Instructure, con respecto a todo Dato personal del Cliente que reciba o al que tenga acceso en virtud del Acuerdo: (a) cumplirá con los PPA (excepto el PPA 1) como si estuviera obligado por los PPA en la misma medida que el Cliente; y (b) sin limitar el subpárrafo (a), celebrará un acuerdo contractual similar con todo tercero al que revele la Información personal (por el que el tercero se compromete a cumplir con los PPA con respecto a dicha información [excepto el PPA 1] como si dicho tercero estuviera obligado por los PPA en la misma medida que el Cliente).
4. Disposiciones pertinentes para Hong Kong. Las disposiciones de esta Sección 4 se aplican cuando Instructure procesa Datos personales del Cliente procedentes de Hong Kong.
   1. En la medida en que Instructure lleve a cabo actividades de comercialización directa en nombre del Cliente, Instructure implementará medidas eficaces diseñadas para informar a los Interesados sobre el alcance de comercialización y proporcionará medios eficaces diseñados para permitir a los Interesados dar su consentimiento de conformidad con los requisitos de la Ordenanza sobre (privacidad de) datos personales (Cap. 486) (“OPDP”).
   2. Instructure cumplirá con los requisitos de retención de datos (DDP2) y seguridad de datos (DPP4) incluidos en la OPDP.
5. Disposiciones pertinentes para la India. Las disposiciones de esta Sección 5 se aplican cuando Instructure procese Datos personales del Cliente procedentes de la India. Al prestar los Servicios, Instructure cumplirá los requisitos de la Ley de Tecnología de la Información de 2000, las Normas de Tecnología de la Información (prácticas y procedimientos de seguridad razonables y datos o información personales sensibles) de 2011 (cada una de ellas en su versión modificada, enmendada o complementada de manera periódica), en la medida en que sean aplicables a una persona jurídica, y cualquier otra ley, norma, reglamento, notificación o sentencia en relación con la protección de datos o la privacidad que esté en vigor en la fecha del Acuerdo o que pueda entrar en vigor en la India en cualquier momento durante la vigencia del Acuerdo.
6. Disposiciones pertinentes para Japón. Las disposiciones de esta Sección 6 se aplican cuando Instructure procese Datos personales del Cliente procedentes de Japón.
   1. Instructure no obtendrá ningún Dato personal del Cliente en Japón ni de ninguna otra Parte mediante medios engañosos, fraudulentos o ilícitos.
   2. Instructure hará todo lo posible por garantizar que los Datos personales del Cliente transferidos sean precisos y estén actualizados, y que se encuentren dentro del ámbito necesario para prestar los Servicios.
   3. Instructure tomará las medidas de seguridad técnicas y organizativas adecuadas, diseñadas para proteger de manera adecuada todos los Datos personales del Cliente en Japón, no solo contra el uso indebido y la pérdida, sino también contra la filtración y el daño, de conformidad con cualquier Ordenamiento pertinente, el Acuerdo, el presente APGD y la Ley de Protección de Datos Personales (Ley n.º 57 de 2003, en su versión enmendada) (la “LPDP”).
   4. Instructure implementará las medidas técnicas y organizativas adecuadas, mientras se pueda, teniendo en cuenta la naturaleza del Procesamiento, para cumplir con las obligaciones del Cliente de responder a las solicitudes de los Interesados que ejerzan sus derechos en virtud de la Ley de Protección de Datos aplicable al Cliente (como, entre otros, los derechos a rectificar, suprimir o bloquear los Datos personales del Cliente).
   5. Si Instructure adquiere Datos personales del Cliente de Interesados en Japón directamente de dichos Interesados, en relación con los Servicios prestados por Instructure a dichos Interesados, Instructure procesará los Datos personales de dichos Interesados de conformidad con la LPDP y todas las normas y pautas complementarias emitidas por la Comisión de Protección de Datos Personales de Japón, así como con todas las demás leyes de privacidad y demás leyes a las que esté sujeta Instructure, incluso cuando trate Datos personales del Cliente de dichos Interesados fuera de Japón.
   6. Instructure notificará al Cliente todo aviso, solicitud, orden o consulta de los Interesados, toda autoridad de protección de datos u otra autoridad gubernamental, organismo encargado de hacer cumplir la ley, orden judicial o tribunal, que el Cliente o Instructure estén obligados a cumplir en virtud de la LPDP u otras leyes aplicables para facilitar la resolución oportuna de cualquier asunto que surja en relación con lo anterior o cualquier investigación relacionada.
7. Disposiciones pertinentes para Malasia. Las disposiciones de la presente Sección 7 se aplicarán cuando Instructure procese Datos personales del Cliente procedentes de Malasia.
   1. A los fines de la presente Sección 7, los términos “Datos personales”, “Datos personales sensibles” y “Usuario de los datos” tendrán el significado que se les atribuye en la Ley de Protección de Datos Personales de 2010.
   2. Instructure cumplirá con la Ley de Protección de Datos Personales de 2010 en la medida en que esta se aplique a los Procesadores y a los Datos personales del Cliente que se procesarán en virtud del presente.
   3. No se transferirán Datos personales del Cliente a ningún país fuera de Malasia, salvo a aquellos países especificados por el Ministro mediante notificación publicada en el Boletín Oficial (si la hubiera) o con el consentimiento del Usuario de los datos o según se permita en las circunstancias previstas en la Ley de Protección de Datos Personales de 2010 en lo que respecta a la transferencia de Datos personales.
   4. No se podrá realizar ningún procesamiento de categorías especiales de datos o datos sensibles en el sentido de Datos personales sensibles, incluida cualquier transferencia de estos, sin el consentimiento explícito del Interesado o salvo que lo permita la Ley de Protección de Datos Personales de 2010 en lo que respecta al procesamiento de Datos personales sensibles.
   5. Instructure ayudará, sin demora, al Usuario de los datos a cumplir con sus obligaciones de responder a las solicitudes de los Interesados que ejerzan sus derechos en virtud de las Leyes de protección de datos que se aplican al Usuario de los datos en el plazo establecido por la Ley de Protección de Datos Personales de 2010.
8. Disposiciones pertinentes para Nueva Zelanda. Las disposiciones de esta Sección 8 se aplican cuando Instructure procesa Datos personales del Cliente procedentes de Nueva Zelanda. Instructure cumplirá con los Principios de Privacidad de la Información establecidos en la Ley de Privacidad de Nueva Zelanda de 1993 (la “Ley”) (como si Instructure fuera el Cliente) y cooperará con el Cliente de manera que se garantice que este pueda cumplir con sus obligaciones (incluidas las relacionadas con las solicitudes e investigaciones sobre privacidad de la información) en virtud de dicha Ley.
9. Disposiciones pertinentes para Filipinas. Las disposiciones de la presente Sección 9 se aplican: (a) cuando Instructure procesa Datos personales del Cliente sobre un ciudadano o residente filipino; (b) cuando Instructure, el Procesador o el Cliente se encuentran en Filipinas o están establecidos ahí; (c) cuando el procesamiento de los Datos personales del Cliente se realiza en Filipinas; o (d) cuando el Procesamiento de los Datos personales del Cliente lo realiza una entidad vinculada a Filipinas.
   1. Instructure cumplirá con las siguientes obligaciones: (a) cumplir con las leyes y reglamentos locales aplicables y las disposiciones de la Comisión Nacional de Privacidad de Filipinas; (b) ayudar al Cliente, mediante medidas técnicas y organizativas adecuadas y en la medida de lo posible, a cumplir con la obligación de responder a las solicitudes de los Interesados en relación con el ejercicio de sus derechos; (c) ayudar al Cliente a garantizar el cumplimiento de las leyes y reglamentos locales aplicables y las disposiciones de la Comisión Nacional de Privacidad de Filipinas, teniendo en cuenta la naturaleza del tratamiento y los Datos personales del Cliente de los que dispone Instructure; (d) poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en las leyes y reglamentos locales aplicables; y (e) informar de inmediato al Cliente si, en su opinión, una instrucción del Cliente infringe alguna ley, reglamento o disposición local aplicable de la Comisión Nacional de Privacidad de Filipinas.
   2. Instructure alojará y Procesará los Datos personales del Cliente almacenados en los Servicios, tal y como se describe en el Adjunto 1.
10. Disposiciones pertinentes para Singapur. Instructure cumplirá con la Ley de Protección de Datos Personales de 2012 en la medida en que esta se aplique a los Procesadores y a los Datos personales del Cliente que se procesarán en virtud del presente. Instructure alojará los Datos personales del Cliente almacenados en los Servicios, tal y como se describe en el Adjunto 1. Instructure Procesará los Datos personales del Cliente, tal y como se describe en el Adjunto 1.
11. Disposiciones pertinentes para Corea del Sur. Las disposiciones de la presente Sección 11 se aplican: (a) cuando Instructure Procesa Datos personales del Cliente procedentes de Corea del Sur; o (b) cuando Instructure es una entidad ubicada en Corea del Sur.
    1. Instructure cumplirá con las disposiciones aplicables de la Ley de Protección de Datos Personales (en su versión enmendada) y la Ley de Promoción del Uso de Redes de Datos y Comunicaciones y Protección de Datos, etc. (en su versión enmendada).
    2. Con sujeción a las limitaciones y exenciones de responsabilidad previstas en el Acuerdo, Instructure será responsable ante el Cliente por los daños y perjuicios que cause por alguna violación de las disposiciones del presente APGD.
    3. Instructure alojará y Procesará los Datos personales del Cliente almacenados en los Servicios, tal y como se describe en el Adjunto 1.
12. Disposiciones pertinentes para Taiwán. Las disposiciones de la presente Sección 12 se aplican cuando Instructure procesa Datos personales del Cliente procedentes de Taiwán o que son Datos personales del Cliente de ciudadanos taiwaneses que se encuentran en cualquier parte del mundo. Instructure alojará los Datos personales del Cliente almacenados en los Servicios, tal y como se describe en el Adjunto 1. Instructure Procesará los Datos personales del Cliente, tal y como se describe en el Adjunto 1.
    1. Instructure cumplirá con las disposiciones aplicables de la actual Ley de Protección de Datos Personales de Taiwán (la “LPDP”), las Normas de Aplicación de la Ley de Protección de Datos Personales (las “Normas de Aplicación de la LPDP”) y cualquier otra normativa de protección de datos vigente en Taiwán.
    2. Instructure prestará asistencia inmediata al Cliente: (a) implementando medidas técnicas y organizativas adecuadas, mientras se pueda, teniendo en cuenta la naturaleza del procesamiento para cumplir con las obligaciones del Cliente de responder a las solicitudes de los Interesados que ejerzan sus derechos en virtud de la LPDP que se aplican al Cliente (tales como los derechos de revisión, copia, rectificación, cese de la recopilación, el procesamiento o el uso, o la supresión de los Datos personales del Cliente, entre otros); (b) garantizando el cumplimiento de las obligaciones del Cliente en virtud del Artículo 12 de la LPDP (investigación inmediata de la infracción de datos y notificación a las personas) y toda normativa específica del sector aplicable emitida en virtud del Artículo 27 de esta (incluida, entre otros, cualquier obligación específica del sector de notificar al regulador una infracción de datos), teniendo en cuenta la naturaleza del procesamiento y la información de la que dispone Instructure; y (c) informando de inmediato al Cliente si, en opinión de Instructure, una instrucción del Cliente para recopilar, procesar o usar los Datos personales del Cliente infringe la LPDP.
    3. Instructure adoptará las medidas técnicas y organizativas establecidas en el Artículo 12(2) de las Normas de aplicación de la LPDP, proporcionales al objetivo de prevenir el robo, la alteración, el daño, la destrucción o la divulgación de los Datos personales de los Clientes.
    4. Además de informar al Cliente de las interrupciones graves de las operaciones de Procesamiento de Instructure, las sospechas de infracción de la seguridad o de incumplimiento de la LPDP, las Normas de aplicación de la LPDP u otras normativas de protección de datos de Taiwán, Instructure informará al Cliente de todas las medidas correctivas adoptadas para remediar la interrupción, la infracción o el incumplimiento.
    5. Instructure cumplirá con toda instrucción reservada del Cliente y tiene la obligación de proporcionar información que demuestre el cumplimiento de dicha instrucción reservada al Cliente.
13. Disposiciones pertinentes para Brasil.  Las disposiciones de la presente Sección 14 se aplican cuando Instructure procesa Datos personales del Cliente procedentes de Brasil.
    1. La definición de “Leyes de protección de datos” incluye la Lei Geral de Proteção de Dados (LGPD).
    2.  La definición de “Violación de la seguridad” incluye incidentes de seguridad que puedan suponer un riesgo o daño considerables para los Interesados.
    3.  La definición de “Procesador” incluye “operador”, tal y como se define en la LGPD.
    4.  En la medida en que los Datos personales del Cliente se procesen por Internet, se deberán respetar las disposiciones de la Ley Brasileña de Internet (Ley 12.965/2014). Instructure cumplirá con la denominada Ley de Habeas Data (Ley 9507/1997) en la medida en que sea aplicable.
14. Disposiciones pertinentes para Chile.  Las disposiciones de la presente Sección 15 se aplican cuando Instructure procesa Datos personales del Cliente procedentes de Chile.
    1.  Instructure cumplirá con la Sección 14 del presente Adjunto 4.
    2.  Instructure cumplirá con la Ley de Protección de Datos n.º 19.628, en su versión enmendada. Las disposiciones sustantivas de la Ley de Protección de Datos entraron en vigor el 27 de octubre de 1999 y el 22 de agosto de 2000.
15. Disposiciones pertinentes para Colombia.  Las disposiciones de la presente Sección 15 se aplican cuando Instructure procesa Datos personales del Cliente procedentes de Colombia.
    1. Instructure cumplirá con la Sección 15 del presente Adjunto 4.
    2. A los efectos de la presente Sección 15: (a) “PGD colombiana” se referirá al Marco Jurídico Colombiano de Protección General de Datos (ley 1581 de 2012 y decreto 1074 de 2015); y (b) los flujos de Datos personales del Cliente entre Instructure y el Cliente se entenderán como “transmisiones de datos” en virtud de la PGD colombiana.
    3.  Instructure cumplirá con las siguientes obligaciones: (a) Procesar los Datos personales del Cliente únicamente para los fines autorizados por las personas que son los sujetos de dicha información; (b) Procesar los Datos personales del Cliente de conformidad con las instrucciones y el aviso de privacidad del Cliente; y (c) Procesar los Datos personales del Cliente de conformidad con los principios establecidos en la PGD colombiana.
16. Disposiciones pertinentes para México.  Las disposiciones de la presente Sección 16 se aplican cuando Instructure procesa Datos personales del Cliente procedentes de México.
    1. Instructure cumplirá con la Sección 16 del presente Adjunto 4.
    2. Instructure cumplirá con las medidas de seguridad establecidas en el Artículo 52 del Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, cuando proceda.
    3.  Instructure procesará los Datos personales del Cliente de conformidad con el Aviso de privacidad del Cliente, siempre que este se asegure de que dicho aviso describa de manera adecuada el procesamiento de los Datos personales del Cliente por parte de Instructure en virtud del Acuerdo, de conformidad con la legislación mexicana.
17. Disposiciones pertinentes para la República Argentina.  Las disposiciones de la presente Sección 17 se aplican cuando Instructure procesa Datos Personales del Cliente procedentes de la República Argentina.
    1. Instructure se compromete a cumplir con las obligaciones de un importador2 de datos, tal y como se establece en el contrato modelo titulado Contrato Modelo de Transferencia Internacional de Datos Personales con Motivo de Prestación de Servicios, adoptado por la Agencia de Protección de Datos de la República Argentina en virtud de la Disposición 60 — E/2016 (las “SCC argentinas”) para la transferencia de Datos personales a Procesadores de datos establecidos en terceros países (tal y como se definen en dicho contrato).
    2.  Instructure reconoce que cada Filial del Cliente en la República Argentina será un Cliente. En particular, y sin limitar la obligación anterior: (a) Instructure se compromete a conceder derechos de terceros beneficiarios a los Interesados, tal y como se establece en la Cláusula 3 de las SCC argentinas, siempre que la responsabilidad de Instructure se limite a sus propias operaciones de procesamiento; (b) Instructure acepta que sus obligaciones en virtud de las SCC argentinas se regirán por las leyes de la República Argentina en las que estén establecidas las Filiales del Cliente que sean exportadoras de datos; y (c) los detalles de los apéndices aplicables a las SCC argentinas se establecen en el Adjunto 1 del presente APGD.
    3. A los efectos del Anexo A de las SCC argentinas, el exportador de datos es una institución educativa; el importador de datos es una empresa internacional de tecnología educativa y los detalles sobre los Interesados, las categorías de datos, las operaciones de procesamiento y las medidas de seguridad se establecen en el Adjunto 1 del presente APGD.
    4. Instructure no aplicará ni usará los Datos personales del Cliente para ningún fin distinto al especificado en el presente APGD, ni comunicará a terceros dichos Datos personales del Cliente, salvo en los casos permitidos en el presente APGD y en el Acuerdo, ni siquiera con fines de almacenamiento. Una vez cumplidas las obligaciones contractuales correspondientes, los Datos personales del Cliente procesados deben destruirse, salvo que exista una autorización expresa de la persona en cuyo nombre se prestan dichos servicios, debido a la posibilidad de que los Datos personales del Cliente se usen para servicios futuros, en cuyo caso los Datos personales del Cliente podrán almacenarse en condiciones de seguridad adecuadas durante un plazo máximo de dos (2) años. Las partes acuerdan adoptar medidas de confidencialidad para proteger los Datos personales del Cliente de conformidad con el Artículo 9 de la Ley de Protección de Datos y sus Reglamentos. Instructure tratará los Datos personales del Cliente siguiendo únicamente las instrucciones del Cliente.
18. Disposiciones pertinentes para Canadá. Las disposiciones de la presente Sección 18 se aplican cuando Instructure procesa Datos personales del Cliente procedentes de Canadá.
    1. Instructure cumplirá con la Ley de Protección de Datos Personales y Documentos Electrónicos, y toda ley provincial que se declare sustancialmente similar de conformidad con la Sección 26(2)(b), cuando sea aplicable, e Instructure informará de inmediato al Cliente si la ubicación donde se alojan los Datos personales del Cliente cambia en algún momento.

Adjunto 5: Adenda sobre Clientes de los servicios de investigación de LearnPlatform

El Adjunto 5 se aplica a los Clientes que son proveedores de tecnología educativa que han adquirido los Servicios de investigación de LearnPlatform por parte de Instructure en virtud del Acuerdo y complementa el APGD al que se adjunta.

1. Definiciones. A los efectos del presente Adjunto 5, se aplicarán las siguientes definiciones, además de los términos definidos en el APGD.
   1. “OEL” se refiere a toda institución educativa, organismo educativo local, escuela o distrito que proporciona los Datos compartidos a Instructure para su procesamiento en virtud del presente APGD.
   2. “Finalidad” se refiere a evaluar la eficacia de los productos y servicios educativos del Cliente, incluida la recopilación de comentarios de un OEL y la medición de la utilidad del producto, con el fin de mejorar, complementar y perfeccionar la enseñanza de los estudiantes.
   3. “Resultados” se refiere al análisis de los Datos compartidos realizado por Instructure.
   4. “Datos compartidos” se refiere a todo dato o información compartido con Instructure por el Cliente o un OEL para que Instructure preste los Servicios, lo que incluye, entre otros, los datos anonimizados, los conjuntos de datos agregados, la información de identificación personal (IIP) sobre los estudiantes y otra información sobre los estudiantes, como datos de los estudiantes, metadatos y contenido de los usuarios, entre otros.
2. Finalidad. El Cliente es una empresa de tecnología educativa que mantiene “expedientes educativos”, tal y como se definen en la FERPA. Instructure solicita acceso a determinados expedientes educativos proporcionados por el Cliente con el fin de prestarle los Servicios.
3. Roles de las Partes. Las Partes acuerdan que, con respecto a los Datos compartidos, el Cliente es la “empresa” o el “controlador”, e Instructure es el “procesador” o el “prestador de servicios”, en cada caso tal y como se definen dichos términos en las Leyes de protección de datos aplicables.
4. Propiedad y procesamiento de los Datos compartidos.
   1. El Cliente declara y garantiza que ha cumplido con todas las Leyes de protección de datos aplicables, lo que incluye, entre otros, proporcionar todos los avisos y obtener todos los consentimientos y derechos necesarios en virtud de las Leyes de protección de datos aplicables para que Instructure procese todo Dato compartido por el Cliente o el OEL con Instructure. En caso de que el Cliente determine que la declaración, la garantía y el compromiso anteriores son falsos con respecto a algún Dato compartido, lo notificará de inmediato a Instructure. El Cliente indemnizará a Instructure por todas las reclamaciones que se deriven directamente de algún incumplimiento sustancial de la presente Sección 4.1 por parte del Cliente, sus empleados, agentes, contratistas, Subencargados del Procesamiento o subcontratistas. El incumplimiento de la presente Sección 4.1 se considerará un incumplimiento sustancial de este APGD.
   2. Salvo que se establezca expresamente lo contrario en este APGD y en el Acuerdo, las Partes acuerdan que los Datos compartidos y todos los derechos sobre los Datos compartidos entre Instructure y el Cliente seguirán siendo propiedad exclusiva del Cliente o del OEL que proporcionó los Datos compartidos a Instructure. Instructure entiende que el APGD no transfiere la propiedad de los Datos compartidos a Instructure.
   3. El Cliente reconoce que todo Dato compartido y proporcionado a Instructure en virtud del Acuerdo tiene como único objetivo evaluar productos y servicios educativos para mejorar, complementar y perfeccionar la enseñanza de los estudiantes. El Cliente usará los Datos compartidos con el único fin de evaluar productos educativos para informar las decisiones pedagógicas, operativas y fiscales, así como las prácticas y procesos relacionados con la tecnología educativa en las escuelas.
   4. Las Partes acuerdan que los Resultados, incluidos, entre otros, los Datos anonimizados derivados de los Datos compartidos, serán, entre el OEL y el Cliente, propiedad exclusiva de Instructure. Los Datos anonimizados tendrán todos los identificadores personales directos e indirectos eliminados, lo que incluye, entre otros, el nombre, los números de identificación, la fecha de nacimiento, la información demográfica, la información de ubicación y la identificación escolar. El Cliente se compromete a no intentar volver a identificar ningún dato anonimizado proporcionado por Instructure al Cliente. El Cliente acepta conceder al OEL una licencia limitada y no exclusiva a fin de usar los Resultados únicamente para su planificación interna y decisiones de compra.
5. Prohibición del uso o de la divulgación no autorizados de los Datos compartidos. Las Partes acuerdan mantener todos los Datos compartidos en estricta confidencialidad. Las Partes no usarán ni divulgarán ningún Dato compartido recibido de un OEL o en nombre de este, salvo en los casos autorizados en el presente APGD, o según lo indique por escrito el OEL o según lo exija la ley. Las Partes acuerdan no divulgar ningún Dato compartido obtenido del OEL de manera que pueda identificar a ningún estudiante individual ante ninguna otra entidad o persona, intentar inferir o deducir la identidad de ningún estudiante individual según los Datos compartidos proporcionados por el OEL, ni afirmar haber identificado o deducido la identidad de ningún estudiante en función de los Datos compartidos proporcionados por el OEL.
   1. Las Partes tienen prohibido extraer Datos compartidos para algún fin distinto a los establecidos en este APGD y en el Acuerdo o acordados previamente por escrito por el OEL. Queda estrictamente prohibido el análisis o escaneo de datos del contenido de los usuarios con fines publicitarios o de comercialización de productos o servicios no educativos a los estudiantes o sus padres.
   2. En ningún caso las Partes usarán los Datos compartidos para fines de comercialización o publicidad propios o de terceros. Sin perjuicio de lo anterior, las Partes acuerdan que se permite el uso de los Resultados con fines de comercialización o publicidad de una de las Partes, siempre y cuando no se revele ni se pueda deducir la identidad individual de ningún estudiante. Las Partes no usarán ningún Dato compartido para anunciar ni comercializar productos o servicios no educativos a los estudiantes del OEL o a sus padres.
   3. Las Partes solo podrán compartir los Datos compartidos, o alguna parte de estos, con empleados, agentes, contratistas y subcontratistas que hayan aceptado por escrito cumplir los términos del presente APGD y estar sujetos a ellos, en lo que respecta a la posesión y el uso de cualquier Dato compartido, y que reconozcan que los empleados, agentes, contratistas y subcontratistas son conscientes de sus obligaciones en virtud de la legislación aplicable en lo que respecta a la posesión, el uso y la divulgación de los Datos compartidos.
   4. Instructure reconoce que los Datos compartidos tienen como único objetivo evaluar la eficacia de los productos y servicios educativos del Cliente, incluso mediante la recopilación de comentarios del OEL en el marco de los Servicios.
   2. Uso autorizado de los Datos compartidos. En caso de que el acceso del Cliente a los Datos compartidos se realice de conformidad con la “excepción oficial escolar” establecida en 34 CFR 99.31(a)(1)(i), el uso de los Datos compartidos por parte del Cliente se limitará, en todo momento, a las funciones institucionales del OEL que, de otro modo, podría proporcionar un funcionario escolar y que el OEL está “subcontratando” al Cliente de conformidad con 34 CFR 99.31(a)(1)(B). El Cliente se compromete a usar los Datos compartidos únicamente para los fines establecidos. El Cliente entiende que el presente APGD no transfiere la propiedad de los Datos compartidos al Proveedor. En concreto, el Cliente reconoce que el uso que haga de los Datos compartidos y los Resultados en relación con las actividades de comercialización no excederá los usos aceptables permitidos por 20 U.S.C. § 1232h(c)(4)(A).