Política de privacidad de los servicios gestionados alojados de SAS® Institute Inc.

Compromiso con la privacidad

SAS ("SAS", "nosotros", "nos" y "nuestro") ofrece Servicios Gestionados Alojados, que incluyen software como servicio (SaaS), alojamiento empresarial, servicios gestionados remotos y otras soluciones analíticas, así como los expertos en la materia para gestionarlos. Proporcionamos estas soluciones a organizaciones ("usted" y "su") y a sus empleados, consumidores, pacientes y estudiantes ("Sujetos de datos") en todo el mundo.

La privacidad de los interesados es importante para nosotros. Esta política describe y explica las prácticas de SAS y las medidas que tomamos para proteger su privacidad y cumplir con las leyes aplicables y nuestras obligaciones. Esta política también describe sus opciones en relación con el uso, el acceso y la corrección de los datos personales de los interesados, para que pueda comprender mejor las prácticas de SAS y asegurarse de que son coherentes con los avisos de privacidad que haya puesto a su disposición.

Ámbito de aplicación

Esta Política de Privacidad describe cómo SAS recopila, recibe, accede, utiliza y divulga ciertos datos personales recibidos en relación con los Servicios Gestionados Alojados de SAS, incluyendo el alojamiento empresarial, SaaS, servicios gestionados remotos y otras ofertas de soluciones analíticas, y rige el uso que SAS hace de dichos datos personales para proporcionarle esas ofertas de conformidad con nuestros acuerdos.

Esta Política de Privacidad no se aplica a la información recopilada por SAS de los visitantes de SAS.com, la información recopilada por SAS en relación con la creación de un Perfil SAS de un individuo, para fines no relacionados con los Servicios Gestionados Alojados de SAS, o la información recopilada por SAS a través de otras ofertas.Para obtener información sobre cómo SAS recopila, utiliza y divulga información a través de SAS.com, el Perfil SAS y otras ofertas de SAS, consulte la Declaración de Privacidad de SAS.

Transferencias internacionales de datos

Debido a la naturaleza global de nuestras operaciones, algunos destinatarios de datos pueden estar ubicados en países fuera del Espacio Económico Europeo (EEE), Suiza o el Reino Unido (RU), que no proporcionan un nivel adecuado de protección de datos según lo definido por las leyes de protección de datos en el EEE, Suiza y el Reino Unido Las transferencias entre filiales de SAS o a terceros ubicados en dichos terceros países se realizan utilizando un mecanismo válido de transferencia de datos, como las Cláusulas Contractuales Tipo (CCC) de la UE (así como el correspondiente anexo suizo y la adenda británica, según proceda), sobre la base de excepciones legales permitidas, o cualquier otro mecanismo válido de transferencia de datos emitido o aprobado por las autoridades del EEE, Suiza o el Reino Unido. Las autoridades del EEE, Suiza y el Reino Unido han reconocido oficialmente que determinados terceros países ofrecen un nivel de protección adecuado, por lo que no son necesarias más salvaguardias.

Los SCCs son un modelo de cláusulas contractuales que han sido preaprobadas por la Comisión Europea y sirven como mecanismo legal de transferencia. SAS utiliza estos SCC y las medidas complementarias de conformidad con las orientaciones de la Comisión Europea y del Consejo Europeo de Protección de Datos. Estos CEC actualizados, así como el anexo suizo y el apéndice del Reino Unido correspondientes, forman parte integrante de los acuerdos de tratamiento de datos (APD) que SAS celebra con sus clientes, sub encargados del tratamiento y socios, cuando procede. Los términos de la DPA de SAS se aplican a las transferencias de datos personales originadas en el Espacio Económico Europeo (EEE), Suiza y/o el Reino Unido desde usted, como exportador de datos, a SAS y sus filiales ubicadas en terceros países, como importadores de datos.

Marco de protección de datos UE-EE.UU. con ampliación al Reino Unido, y Marco de protección de datos Suiza-EE.UU.

Los entornos de Servicios Gestionados Alojados de SAS cumplen con el Marco de Privacidad de Datos UE-EE.UU. (DPF UE-EE.UU.), la Extensión del Reino Unido al DPF UE-EE.UU., y el Marco de Privacidad de Datos Suiza-EE.UU. (DPF Suiza-EE.UU.) según lo establecido por el Departamento de Comercio de EE.UU..

  • SAS ha certificado al Departamento de Comercio de EE.UU. que sus entornos de Servicios Gestionados Alojados cumplen los Principios del Marco de Privacidad de Datos UE-EE.UU. (Principios DPF UE-EE.UU.) con respecto al tratamiento de datos personales recibidos de la Unión Europea en virtud del DPF UE-EE.UU. y del Reino Unido (y Gibraltar) en virtud de la Extensión del Reino Unido al DPF UE-EE.UU.
  • SAS ha certificado al Departamento de Comercio de EE.UU. que sus entornos de Servicios Gestionados Alojados se adhieren a los Principios del Marco de Privacidad de Datos Suiza-EE.UU. (Principios DPF Suiza-EE.UU.) con respecto al tratamiento de datos personales recibidos de Suiza en virtud del DPF Suiza-EE.UU..

Si existe algún conflicto entre los términos de esta política de privacidad y los Principios DPF UE-EE.UU. y/o los Principios DPF Suiza-EE.UU., prevalecerán los Principios.Para obtener más información sobre el programa Marco de Privacidad de Datos (DPF) y consultar nuestra certificación, visite https://www.dataprivacyframework.gov.

SAS es responsable del tratamiento de los datos personales que recibe dentro de sus entornos de Servicios Gestionados Alojados, en virtud del DPF, y de las posteriores transferencias a un tercero que actúe como agente en su nombre.  Los entornos de Servicios Gestionados Alojados de SAS cumplen los Principios DPF para todas las transferencias ulteriores de datos personales desde la UE, el Reino Unido y Suiza, incluidas las disposiciones sobre responsabilidad en las transferencias ulteriores.

La Comisión Federal de Comercio tiene jurisdicción sobre el cumplimiento por parte de los entornos de Servicios Gestionados Alojados de SAS de la DPF UE-EE.UU., la Extensión del Reino Unido a la DPF UE-EE.UU. y la DPF Suiza-EE.UU. En determinadas situaciones, SAS puede verse obligada a revelar datos personales de sus entornos de Servicios Gestionados Alojados en respuesta a solicitudes legales de las autoridades públicas, incluido el cumplimiento de requisitos de seguridad nacional o de aplicación de la ley.

De conformidad con el DPF UE-EE.UU., la Ampliación del Reino Unido al DPF UE-EE.UU. y el DPF Suiza-EE.UU., SAS se compromete a remitir las reclamaciones no resueltas relativas a su tratamiento de datos personales en sus entornos de Servicios Gestionados Alojados que se reciban en virtud del DPF UE-EE.UU., la Ampliación del Reino Unido al DPF UE-EE.UU. y el DPF Suiza-EE.UU. a TRUSTe, un proveedor de resolución alternativa de litigios con sede en los Estados Unidos.  Si no recibe a tiempo el acuse de recibo de su reclamación relacionada con los Principios DPF por parte de SAS, o si no hemos abordado su reclamación relacionada con los Principios DPF a su satisfacción, visite https://feedback-form.truste.com/watchdog/request. para obtener más información o presentar una denuncia.  Estos servicios de resolución de litigios se prestan sin costo alguno para usted.

Para las reclamaciones relativas al cumplimiento del DPF no resueltas por ninguno de los otros mecanismos del DPF, usted tiene la posibilidad, en determinadas condiciones, de invocar un arbitraje vinculante. Encontrará más información en el sitio web oficial del DPF.

Datos tratados y fines del tratamiento

SAS Managed Hosted Services recoge y procesa dos tipos de datos personales: Información del cliente e Información del cliente .

La Información del cliente es la información que recibimos de usted, o de un tercero por indicación suya, sobre sus Titulares. Sólo recopilamos la Información de Cliente que usted nos proporciona, nos indica que recopilemos o a la que accedemos para prestarle servicios.La Información de Clientes puede incluir datos personales sobre distintos tipos de individuos, entre ellos: consumidores, empleados, pacientes, estudiantes, donantes, voluntarios, clientes comerciales, proveedores y otros socios de negocio.Estos datos personales pueden incluir información básica de contacto, como nombre, dirección postal, dirección de correo electrónico y número de teléfono, así como datos personales más sensibles, como información financiera, información personal sobre salud, datos de ensayos clínicos, información demográfica, información sobre compras, información sobre estudios de mercado e información sobre el rendimiento de empleados y estudiantes.De hecho, SAS puede, siguiendo sus instrucciones, obtener cualquier tipo de datos sobre cualquier tipo de persona que usted cargue en nuestros productos, nos envíe a través de mecanismos en línea o fuera de línea, o nos indique que los recopilemos de agregadores de terceros, como Dun & Bradstreet.

Operamos bajo el supuesto de que es su obligación como responsable del tratamiento de datos notificar a las personas cuyos datos personales puedan estar incluidos en su Información de Cliente sobre los datos personales que recopila y los fines para los que los recopila, obtener su consentimiento para que procesemos sus datos personales, cuando sea necesario, y garantizar que dichos datos personales sean fiables para el uso previsto, exactos, completos y actuales. No tenemos ninguna relación directa con las personas cuyos datos personales están incluidos en la Información del cliente que procesamos.

Recopilamos y procesamos la Información del Cliente únicamente con el fin de prestarle servicios y de conformidad con nuestros acuerdos con usted. En determinadas situaciones, podemos complementar la Información de Cliente facilitada por usted con información procedente de otras fuentes. Esto sólo se hace cuando usted lo solicita expresamente y nosotros estamos de acuerdo. Esta complementación de la Información del Cliente tiene como único fin prestarle servicios. Conservaremos la Información de Cliente durante el tiempo estipulado en nuestro acuerdo con usted, o durante más tiempo, según sea necesario para cumplir con nuestras obligaciones legales, resolver disputas o hacer cumplir nuestros acuerdos.

La Información del Cliente son datos personales sobre las personas de su organización, tales como gestores de cuentas y usuarios, que interactúan con los Servicios Gestionados Alojados de SAS y sus sistemas.Los datos del cliente suelen limitarse a su nombre, dirección de correo electrónico, número de teléfono y cargo.Recopilamos información de los clientes a través de formularios en línea, correo electrónico, teléfono y otros medios escritos que usted utilice para proporcionárnosla.Utilizamos los datos de los clientes para gestionar su cuenta, mantener nuestra relación comercial con usted, responder a sus consultas y realizar funciones contables.

La Información del Cliente también puede incluir Información del Usuario.La Información del Usuario es información generada por ordenadores que interactúan con nuestros sistemas.La Información del Usuario puede recopilarse a través de los siguientes medios:

  • Registros del servidor web/análisis web.En el proceso de administración de nuestro sitio, mantenemos y rastreamos el uso a través de los registros del servidor web y podemos utilizar herramientas analíticas web para revisar la información de registro.Estos registros proporcionan información, como qué tipos de navegadores acceden a nuestros sitios, de qué país procede la solicitud de acceso, qué páginas reciben un tráfico elevado y las horas del día en que nuestros servidores experimentan una carga significativa.Utilizamos esta información para mejorar el contenido y las funciones de navegación de nuestros sitios.
  • Cookies y otras tecnologías de seguimiento.Existen diversas tecnologías de seguimiento, como las "cookies ", que podemos utilizar para proporcionar información personalizada desde un sitio web.Una cookie es un elemento de datos que un sitio web puede enviar a su navegador, que a su vez puede almacenarlo en su sistema.Algunos sistemas de SAS Hosted Managed Services pueden utilizar cookies para la autenticación y la seguridad y/o para recordar la configuración del usuario para que podamos servirle mejor cuando vuelva a esos sistemas.Al utilizar estos sistemas, usted acepta que coloquemos este tipo de cookies en su sistema.Puede configurar su navegador para que le avise cuando reciba una cookie, dándole la oportunidad de decidir si la acepta o no.Puede controlar el uso de cookies a nivel de navegador individual.Para más información, consulte la información de usuario suministrada con su navegador web.Si rechaza las cookies, podrá seguir utilizando los sistemas de SAS Hosted Managed Services, pero su capacidad para utilizar algunas funciones o áreas de dichos sistemas puede verse limitada.

También podemos utilizar la Información de Usuario para ayudarnos a prevenir y detectar amenazas a la seguridad, fraudes u otras actividades maliciosas, para gestionar la facturación de esos servicios de suscripción en función del uso y para garantizar el correcto funcionamiento de nuestros productos y servicios.

Además, SAS podrá utilizar la Información del Cliente y la Información del Cliente para los siguientes fines:

  • Para mantener y actualizar un sistema.Nuestro personal técnico puede necesitar acceso periódico a los datos de los servicios que pueden incluir Información del Cliente o Información del Cliente, para supervisar el rendimiento del sistema, probar los sistemas y desarrollar e implementar actualizaciones de los sistemas.Las copias temporales de dichos datos de servicios creadas como parte necesaria de este proceso sólo se conservan durante los periodos de tiempo pertinentes para dichos fines.
  • Para abordar problemas de rendimiento y solucionarlos. En ocasiones, podemos desarrollar nuevas versiones, parches, actualizaciones y otras correcciones para nuestros programas y servicios, como parches de seguridad que abordan vulnerabilidades recién descubiertas.De acuerdo con las condiciones de su pedido de servicios, podemos acceder a distancia al ordenador de un usuario, mientras éste observa, para solucionar un problema de rendimiento.
  • Para cumplir los requisitos legales.SAS puede verse obligada a proporcionar datos personales para cumplir con los requisitos legales de presentación de informes, divulgación u otros procesos legales cuando creamos, a nuestra entera discreción, que la divulgación es necesaria para proteger nuestros derechos, o para responder a una solicitud gubernamental.

Sitios web de terceros

Si usted lo solicita, y SAS está de acuerdo, los sistemas de SAS Hosted Managed Services pueden configurarse para permitirle a usted y a sus usuarios acceder a otros sitios web de terceros cuyas prácticas de privacidad pueden diferir de las de SAS. Si usted o los interesados envían datos personales a cualquiera de esos sitios web, dicha información se regirá por sus declaraciones de privacidad. Le recomendamos a usted y a los interesados que lean detenidamente la declaración de confidencialidad de cualquier sitio web al que usted o los interesados accedan a través de nuestros sistemas. Dependiendo de su país, también puede tener el derecho o la opción de: (1) restringir u oponerse al tratamiento de los datos, (2) recibir los datos para transmitirlos a otra empresa (3) retirar cualquier consentimiento prestado, y/o (4) presentar una reclamación ante su autoridad de control.

Acceso y corrección de datos; opciones para limitar su uso y divulgación

El Reglamento General de Protección de Datos (RGPD) de la UE, la Ley Federal de Protección de Datos de Suiza y el RGPD/la Ley de Protección de Datos del Reino Unido exigen que los interesados tengan derecho a acceder a los datos personales que una organización posea sobre ellos y, más concretamente, derecho a: (1) obtener confirmación de si se están tratando datos personales sobre ellos; (2) que se les comuniquen los datos para que puedan verificar su exactitud y la licitud del tratamiento; y (3) que se corrijan, modifiquen o supriman los datos.

Con respecto a la Información del Cliente, partimos del supuesto de que es su obligación como responsable del tratamiento de datos proporcionar a los interesados un medio para acceder a sus datos y solicitar que se corrijan, modifiquen o supriman. Con nuestro actual modelo de negocio, no tenemos interacción directa con los interesados y, por tanto, no disponemos de una vía directa para que nos presenten estas solicitudes. Si usted es cliente de SAS Hosted Managed Services, y recibe una solicitud de este tipo de un interesado sobre el que tenemos datos personales, y desea que le ayudemos a responder a dicha solicitud, póngase en contacto con nuestra oficina de privacidad en privacy@sas.com o Legal Division/Privacy Officer, SAS Campus Drive, Cary, NC 27513. Responderemos a las solicitudes en los 30 días siguientes a su recepción.

Con respecto a la Información del Cliente, operamos bajo el supuesto de que es su obligación como controlador de datos obtener de sus interesados el consentimiento apropiado para transferirnos sus datos y para que procesemos sus datos, le proporcionemos servicios acordados y divulguemos sus datos a terceros, de conformidad con esta Política y nuestros acuerdos con usted. No compartiremos, venderemos, alquilaremos ni intercambiaremos con terceros para sus fines de marketing ninguna Información de Cliente recopilada por nosotros, a menos que usted nos indique que lo hagamos y contemos con la autorización pertinente para hacerlo. Si el interesado ya no desea que usted o SAS se pongan en contacto con usted por indicación suya, le rogamos que informe al interesado para que se ponga en contacto con usted, como cliente de SAS, directamente.

Con respecto a la información de los clientes, algunos sistemas de SAS Hosted Managed Services permiten a los usuarios acceder a sus propios datos personales y modificarlos o corregirlos. De lo contrario, si usted o sus usuarios desean solicitar el acceso a la información del cliente o su corrección, póngase en contacto con nuestra oficina de privacidad en privacy@sas.com. o Legal Division/Privacy Officer, SAS Campus Drive, Cary, NC 27513. Responderemos a las solicitudes en los 30 días siguientes a su recepción.

Tiene la opción de utilizar entornos en nube basados en un "principio dentro de la UE". Esto significa que, a petición suya y previo acuerdo mutuo por escrito, los entornos de nube (infraestructura informática física y lógica) que SAS proporciona para los Servicios Gestionados Alojados residen en la UE. Nuestra configuración estándar (en función del proveedor de infraestructura en nube utilizado) es una Zona de Disponibilidad ("AZ") en Fráncfort (Alemania) o Dublín (Irlanda) basada en infraestructuras situadas físicamente alrededor de estas ciudades. En la actualidad, cuando SAS opera servicios en la nube para clientes de la UE exclusivamente (aquellos clientes que solicitan recursos "solo para la UE"), SAS no traslada ni almacena datos de clientes fuera de la UE y de la AZ acordada. Las instalaciones de respaldo asociadas a la AZ también residen en la UE.

No utilizaremos ni divulgaremos los datos de los clientes para fines sustancialmente distintos de los descritos en la presente Política, o autorizados posteriormente, sin ofrecer a los interesados la posibilidad de optar por no participar en dichos usos o divulgaciones.

Seguridad de los datos

Tomamos medidas razonables diseñadas para proteger los datos personales de pérdidas, uso indebido y acceso no autorizado, divulgación, alteración y destrucción. Algunas de nuestras medidas de seguridad son las siguientes:

  • Políticas de seguridad. Diseñamos y respaldamos nuestros productos y servicios de acuerdo con políticas de seguridad documentadas. Cada año evaluamos el cumplimiento de nuestras políticas e introducimos las mejoras necesarias en nuestras políticas y prácticas.
  • Formación y responsabilidades de los empleados. Tomamos ciertas medidas para reducir los riesgos de error humano, robo, fraude y uso indebido de nuestras instalaciones. Formamos a nuestro personal en nuestras políticas de privacidad y seguridad, y exigimos a nuestros empleados que firmen acuerdos de confidencialidad. También hemos asignado a una persona la responsabilidad de gestionar nuestro programa de seguridad de la información.
  • Control de acceso. Limitamos el acceso a la Información del Cliente únicamente a aquellas personas que tienen un propósito autorizado para acceder a dicha información. Ponemos fin a esos privilegios de acceso tras un cambio de trabajo o un cese.
  • Cifrado de datos. SAS exige que todas las transferencias electrónicas de Información no pública del Cliente entre usted y SAS (incluidos los datos personales confidenciales y las credenciales de inicio de sesión) se realicen a través de conexiones cifradas.

Para obtener más información sobre nuestras medidas de seguridad, visite el sitio web del Centro de Confianza de SAS relativo a las Medidas de Seguridad Técnicas y Organizativas (TOMS) en: Centro de Confianza - TOMS.

Si confirmamos que personas no autorizadas han accedido a sus Datos de Cliente o los han utilizado, nos pondremos en contacto con su representante designado para coordinar nuestra respuesta al incidente. Si tiene alguna pregunta sobre la seguridad de su información personal, puede ponerse en contacto con nosotros en privacy@sas.com o en Legal Division/Privacy Officer, SAS Campus Drive, Cary, NC 27513.

Conservamos sus datos personales durante el tiempo que sea necesario para cumplir los fines descritos en esta Política, para cumplir nuestras políticas y durante cualquier período legalmente exigido o permitido por la legislación aplicable.

Transferencias a terceros

SAS puede revelar datos personales a socios comerciales y subcontratistas, según sea necesario, con el fin de proporcionar nuestras ofertas y realizar otros servicios solicitados, o según corresponda en relación con una necesidad comercial legítima. Estas empresas están autorizadas a utilizar sus datos personales sólo en la medida necesaria para prestarnos estos servicios. También podemos divulgar los datos personales que nos proporcione a otras entidades de SAS y/o partes comerciales para fines compatibles con los descritos en esta Política y de conformidad con nuestros acuerdos con usted. No revelaremos datos personales a terceros para fines distintos de los descritos en la presente Política, salvo por indicación suya y con su autorización. La divulgación de datos personales se llevará a cabo de conformidad con los SCC y la legislación aplicable en materia de protección de datos en relación con las transferencias ulteriores. No venderemos, alquilaremos ni cederemos sus datos personales a terceros.

También podemos revelar datos personales a un tercero, según sea necesario, en relación con la venta o transferencia de la totalidad o parte de nuestro negocio. En estas situaciones, exigiremos al receptor de los datos que los proteja de conformidad con esta Política o que tome otras medidas para garantizar que los datos personales estén debidamente protegidos. Si SAS participa en una venta o transferencia de todo o parte de nuestro negocio, se le notificará por correo electrónico y/o mediante un aviso destacado en nuestro sitio web de cualquier cambio en la propiedad de SAS o en el uso de sus datos personales, así como de las opciones que puede tener en relación con sus datos personales.

SAS también puede revelar datos personales según lo exija o permita la ley, como en respuesta a solicitudes legales de las autoridades públicas, incluyendo el cumplimiento de requisitos de seguridad nacional o de aplicación de la ley, o cuando creamos, a nuestra entera discreción, que la divulgación es necesaria o apropiada para proteger nuestros derechos o para cumplir con un procedimiento judicial, orden judicial, solicitud de aplicación de la ley u otro proceso legal.

SAS es una empresa mundial con filiales y socios comerciales en más de 80 países y con sistemas técnicos que traspasan fronteras. Los datos personales recogidos en los sistemas de SAS Hosted Managed Services pueden ser transferidos a través de las fronteras estatales y nacionales y almacenados o procesados en los Estados Unidos o en cualquier otro país en el que SAS, sus subsidiarias, filiales o unidades de negocio mantengan instalaciones con fines de consolidación de datos, almacenamiento y gestión de la información. Al utilizar nuestros sistemas, su organización consiente dicha transferencia de información fuera de su país de residencia. SAS, sus subsidiarias, filiales y unidades de negocio tratarán su información recopilada por nuestros sistemas de manera coherente, tal y como se describe aquí, incluso si las leyes de algunos países pueden proporcionar menos protección para su información. Nuestras prácticas de privacidad están diseñadas para proteger sus datos personales en todo el mundo.

TRUSTe

Consultas y reclamaciones

Si tiene alguna pregunta o duda sobre esta Política o sobre el tratamiento que hacemos de sus datos personales, póngase en contacto con nosotros enviando un correo electrónico a privacy@sas.com o por correo ordinario a la atención de:

SAS Institute Inc.
Legal Division/Privacy Officer
SAS Campus Drive
Cary, NC 27513

Le responderemos en un plazo razonable.

Cambios en esta política

Nos reservamos el derecho a modificar esta Política en cualquier momento. Cuando sólo hagamos modificaciones menores, podremos hacerlo sin notificárselo. Cuando realicemos modificaciones sustanciales, se lo notificaremos a la persona que nos haya designado para recibir dichas notificaciones con 30 días de antelación a los cambios. Es su responsabilidad mantener actualizada la información de contacto que tenemos archivada para ese representante designado.

Fecha de entrada en vigor: 7 de julio de 2017
Última fecha revisada: 1 de octubre de 2023