Common use of Obligaciones del encargado de tratamiento Clause in Contracts

Obligaciones del encargado de tratamiento. El Encargado de Tratamiento se compromete a las siguientes obligaciones: a) Utilizar los Datos Personales exclusivamente para la finalidad de prestar los servicios especificados en las Condiciones Particulares, sin destinarlos a otras finalidades distintas y de acuerdo con las instrucciones documentadas facilitadas por el Responsable del Tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el Reglamento General de Protección de Datos o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros en vigor al tiempo de la detección de la infracción, el Encargado del Tratamiento informará fehacientemente al Responsable del Tratamiento en un plazo máximo tres (3) días hábiles. b) El encargado de tratamiento se compromete a llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del Reglamento de Protección de Datos, la documentación de garantías adecuadas. 4. Cuando sea posible una descripción general de las medidas técnicas y organizativas de seguridad de aplicación conforme a lo establecido en el artículo 30 del Reglamento de Protección de Datos, especialmente relativas a: a. La seudonimización y el cifrado de los datos personales. b. La capacidad de garantizar la confidencialidad, la integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida. c) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable del Tratamiento, en los supuestos legal y reglamentariamente admisibles. d) Asistir al Responsable del Tratamiento, dentro de un periodo de tiempo razonable predeterminado por el Responsable del Tratamiento y siempre dentro de los límites máximos establecidos por el RGPD, para que éste pueda cumplir con las obligaciones contenidas en los siguientes artículos: (i) artículo 32 del RGPD (Seguridad del tratamiento); (ii) artículos 33 y 34 del RGPD (Notificación de una violación de la seguridad de los datos personales); (iii) Artículo 35 del RGPD (Evaluación de impacto relativa a la protección de datos) y (iv) artículo 36 del RGPD (Consulta Previa). e) El Responsable del Tratamiento autoriza expresamente al Encargado de Tratamiento a comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

Obligaciones del encargado de tratamiento. El Encargado de Tratamiento encargado del tratamiento y todo su personal se compromete a las siguientes obligacionesobliga a: a) a. Utilizar los Datos Personales exclusivamente datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de prestar este encargo. En ningún caso podrá utilizar los servicios especificados en las Condiciones Particulares, sin destinarlos a otras finalidades distintas y datos para fines propios. b. Tratar los datos de acuerdo con las instrucciones documentadas facilitadas por el Responsable del Tratamientoresponsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el Reglamento General de Protección de Datos RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros en vigor al tiempo de la detección de la infracciónmiembros, el Encargado del Tratamiento encargado informará fehacientemente inmediatamente al Responsable del Tratamiento en un plazo máximo tres (3) días hábiles.responsable b) El encargado de tratamiento se compromete a llevarc. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del Reglamento de Protección de DatosRGPD, la documentación de garantías adecuadas. 4. Cuando sea posible una Una descripción general de las medidas técnicas y organizativas de seguridad de aplicación conforme a lo establecido en el artículo 30 del Reglamento de Protección de Datos, especialmente relativas a: a. i. La seudonimización y el cifrado de los datos personales. b. ii. La capacidad de garantizar la confidencialidad, la integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c. iii. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. c) iv. El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable responsable del Tratamientotratamiento, en los supuestos legal y reglamentariamente legalmente admisibles. d) Asistir al Responsable del Tratamiento, dentro de un periodo de tiempo razonable predeterminado por el Responsable del Tratamiento y siempre dentro de los límites máximos establecidos por el RGPD, para que éste pueda cumplir con las obligaciones contenidas en los siguientes artículos: (i) artículo 32 del RGPD (Seguridad del tratamiento); (ii) artículos 33 y 34 del RGPD (Notificación de una violación de la seguridad de los datos personales); (iii) Artículo 35 del RGPD (Evaluación de impacto relativa a la protección de datos) y (iv) artículo 36 del RGPD (Consulta Previa). e) . El Responsable del Tratamiento autoriza expresamente al Encargado de Tratamiento a encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público. e. El encargado se compromete a no subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado. En caso de que el encargado tuviera la necesidad de subcontratar algún tratamiento, este hecho se deberá comunicar previamente y por escrito al responsable, con una antelación de un mes, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. En este supuesto, la subcontratación podrá llevarse a cabo sólo cuando el responsable la autorice previamente por escrito. El subcontratista, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Será obligación del encargado de tratamiento inicial regular la nueva relación de forma que el nuevo encargado (subencargado) quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones. f. Mantener el deber xx xxxxxxx respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto. g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente. h. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior. i. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales. j. Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de: 1. Acceso, rectificación, supresión y oposición 2. Limitación del tratamiento 3. Portabilidad de datos 4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles) El responsable atenderá y resolverá en tiempo y plazo las solicitudes del ejercicio de los derechos de acceso, rectificación, supresión y oposición y limitación de tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas, por ello, en caso de que el interesado ejercite estos derechos ante el encargado de tratamiento, éste está obligado a comunicarlo por correo electrónico a la dirección indicada por el responsable de forma inmediata, como máximo el siguiente día laborable a la fecha de recepción de la solicitud. En esta comunicación, el encargado deberá incorporar toda la información que sea relevante para que el responsable pueda atender correctamente la solicitud formulada por el interesado.

Obligaciones del encargado de tratamiento. El Encargado de Tratamiento ENCARGADO DEL TRATAMIENTO y todo su personal se compromete a las siguientes obligacionesobliga a: a) 1-. Utilizar los Datos Personales exclusivamente datos personales objeto de tratamiento, o los que recoja para su inclusión sólo para la finalidad objeto de prestar este encargo. En ningún caso podrá utilizar los servicios especificados en las Condiciones Particulares, sin destinarlos a otras finalidades distintas y datos para fines propios. 2-. Tratar los datos de acuerdo con las instrucciones documentadas facilitadas por el Responsable del Tratamientoresponsable del tratamiento. Si el encargado del tratamiento ENCARGADO DEL TRATAMIENTO considera que alguna de las instrucciones infringe el Reglamento General de Protección de Datos (UE) 2016/679 o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros en vigor al tiempo de la detección de la infracciónmiembros, el Encargado del Tratamiento encargado informará fehacientemente inmediatamente al Responsable del Tratamiento en un plazo máximo tres (3) días hábilesresponsable. b) El encargado de tratamiento se compromete a llevar3-. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contengacontenga1: 1. A. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos. 2. B. Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. C. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del Reglamento de Protección de Datos(UE) 2016/679 , la documentación de garantías adecuadas. 4. Cuando sea posible una D. Una descripción general de las medidas técnicas y organizativas de seguridad de aplicación conforme a lo establecido en el artículo 30 del Reglamento de Protección de Datos, especialmente relativas a: a. : - La seudonimización seudoanimización y el cifrado de los datos personales. b. . - La capacidad de garantizar la confidencialidad, la integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c. . - La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico. - El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. c) 4-. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable responsable del Tratamientotratamiento, en los supuestos legal y reglamentariamente legalmente admisibles. d) Asistir al Responsable del Tratamiento, dentro de un periodo de tiempo razonable predeterminado por el Responsable del Tratamiento y siempre dentro de los límites máximos establecidos por el RGPD, para que éste pueda cumplir con las obligaciones contenidas en los siguientes artículos: (i) artículo 32 del RGPD (Seguridad del tratamiento); (ii) artículos 33 y 34 del RGPD (Notificación de una violación de la seguridad de los datos personales); (iii) Artículo 35 del RGPD (Evaluación de impacto relativa a la protección de datos) y (iv) artículo 36 del RGPD (Consulta Previa). e) . El Responsable del Tratamiento autoriza expresamente al Encargado de Tratamiento a encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que 1 NOTA: Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, salvo que el tratamiento que realice pueda suponer un riesgo para los derechos y las libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1 del Reglamento (UE) 2016/679, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10 de dicho Reglamento. se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación. Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

Obligaciones del encargado de tratamiento. El Encargado 2.1. De conformidad con lo previsto en el artículo 28 RGPD y el art. 28 y 33 LOPDGDD, el adjudicatario se obliga y garantiza el cumplimiento de las siguientes obligaciones, complementadas con lo detallado en el Anexo “Tratamiento de Datos Personales”: 2.1. Tratar los Datos Personales conforme a las instrucciones documentadas en el presente Pliego o demás documentos contractuales aplicables a la ejecución del contrato y aquellas que, en su caso, reciba de MUTUALIA por escrito en cada momento. 2.2. La empresa adjudicataria proveedora informará inmediatamente a MUTUALIA cuando, en su opinión, una instrucción sea CONTRARIA a la normativa de protección de Datos Personales aplicable en cada momento; o contraria a cualquier otra norma que le sea de aplicación del Derecho de la UE o de un Estado miembro, que le obligue. 2.3. No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecución del objeto del Contrato. En los supuestos en los que en virtud del Derecho de la Unión Europea o del Estado miembro que le resulte de aplicación a la empresa proveedora, le obligue a un determinado y específico tipo de tratamiento de los datos, incluso en contra de las instrucciones expresas de MUTUALIA, se justificará y se informará de tal eventual situación al RESPONSABLE de Seguridad de MUTUALIA para adaptar las medidas organizativas, jurídicas y de seguridad oportunas. 2.4. Tratar los Datos Personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 32 RGPD, así como observar y adoptar las MEDIDAS TÉCNICAS Y ORGANIZATIVAS DE SEGURIDAD, necesarias o convenientes, para asegurar la CONFIDENCIALIDAD, SECRETO E INTEGRIDAD de los Datos Personales a los que tenga acceso. 2.5. En particular, y sin carácter limitativo, se obliga a aplicar las MEDIDAS DE PROTECCIÓN DEL NIVEL DE RIESGO Y SEGURIDAD detallados en el Anexo “Tratamiento de Datos Personales”. 2.6. Mantener la más absoluta CONFIDENCIALIDAD sobre los Datos Personales a los que tenga acceso para la ejecución del contrato así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta del adjudicatario, siendo deber del adjudicatario instruir a las personas que de él dependan, de este DEBER XX XXXXXXX, y del mantenimiento de dicho deber aún después de la terminación de la prestación del Servicio o de su desvinculación. 2.7. Llevar un listado de PERSONAS AUTORIZADAS para tratar los Datos Personales que sean precisos para la correcta ejecución de la relación contractual que une a MUTUALIA y a empresa proveedora que actúa a su vez como ENCARGADO de Tratamiento, y garantizar que LAS MISMAS SE COMPROMETEN, de forma expresa y por escrito, a respetar la CONFIDENCIALIDAD, y a cumplir con las MEDIDAS DE SEGURIDAD correspondientes, de las que les debe informar convenientemente. La empresa adjudicataria que ostente la condición de ENCARGADO de tratamiento se compromete a las siguientes obligaciones:tener a disposición de MUTUALIA dicha documentación acreditativa. a) Utilizar los Datos Personales exclusivamente para 2.8. Garantizar la finalidad de prestar los servicios especificados en las Condiciones Particulares, sin destinarlos a otras finalidades distintas y de acuerdo con las instrucciones documentadas facilitadas por el Responsable del Tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el Reglamento General de Protección de Datos o cualquier otra disposición FORMACIÓN necesaria en materia de protección de datos Datos Personales de las personas autorizadas a su tratamiento. 2.9. Salvo que cuente en cada caso con la autorización expresa del RESPONSABLE del Tratamiento, NO comunicar (ceder) ni difundir los Datos Personales a terceros, ni siquiera para su conservación, salvo en los supuestos en los que en virtud del Derecho de la Unión Europea o del Estado miembro que le resulte de aplicación a la empresa proveedora, le obligue y/o ampare a realizar una comunicación de datos a un tercero. 2.10. Nombrar un DELEGADO DE PROTECCIÓN DE DATOS en caso de que sea necesario según el RGPD y/o la LOPDGDD, también cuando la designación sea voluntaria; así como la comunicar a MUTUALIA su identidad y datos de contacto. Igualmente, la empresa adjudicataria deberá comunicar a MUTUALIA la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) como sus REPRESENTANTE(s) y/o RESPONSABLE DE SEGURIDAD a efectos de protección de los Estados miembros en vigor al tiempo Datos Personales (representantes del ENCARGADO de Tratamiento), RESPONSABLE(s) del cumplimiento de la detección regulación del tratamiento de la infracciónDatos Personales, en las vertientes legales/formales y en las de seguridad. 2.11. UNA VEZ FINALIZADA LA PRESTACIÓN CONTRACTUAL OBJETO del presente documento, el Encargado del Tratamiento informará fehacientemente al Responsable del Tratamiento en un plazo máximo tres (3) días hábiles. b) El encargado proveedor ENCARGADO de tratamiento se compromete compromete, según corresponda y se instruya en el Anexo “Tratamiento de Datos Personales”, a DEVOLVER O DESTRUIR los Datos Personales a los que haya tenido acceso; los Datos Personales generados por el adjudicatario por causa del tratamiento; y los soportes y documentos en que cualquiera de estos datos consten, sin conservar copia alguna; salvo que se permita o requiera por ley o por norma de derecho comunitario su conservación, en cuyo caso no procederá la destrucción. El ENCARGADO del Tratamiento podrá, NO OBSTANTE, conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el RESPONSABLE del Tratamiento. En este último caso, los Datos Personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo. En los supuestos en los que en virtud del Derecho de la Unión Europea o del Estado miembro que le resulte de aplicación a la empresa proveedora, le obligue y/o ampare a conservar en diferentes plazos los datos personales objeto de tratamiento, deberá comunicar y justificar ante MUTUALIA tal excepción legal. 2.12. Según corresponda y se indique en el Anexo “Tratamiento de Datos Personales, la empresa proveedora adjudicataria deberá a llevar a cabo el tratamiento de los Datos Personales en SISTEMAS/DISPOSITIVOS DE TRATAMIENTO, manuales y automatizados, y en las UBICACIONES que en el citado Anexo se especifican, equipamiento que podrá estar: a) Bajo el control total o parcial directo de MUTUALIA; o b) Bajo el control total o parcial, directo o indirecto, de la empresa adjudicataria o c) Bajo el control total o parcial, directo o indirecto de otras empresas subcontratistas que hayan sido expresamente autorizados por escrito por MUTUALIA, según se establezca en dicho Anexo en su caso, o en documento contractual complementario, y únicamente por los usuarios o perfiles de usuarios asignados a la ejecución del objeto de este Pliego. 2.13. Salvo que se indique otra cosa en el Anexo “Tratamiento de Datos Personales” o se instruya así expresamente por MUTUALIA, la empresa proveedora adjudicataria deberá tratar los Datos Personales de los cuales es RESPONSABLE MUTUALIA dentro del conocido como ESPACIO ECONÓMICO EUROPEO + Suiza (UE + Noruega, Islandia, Lietchenstein + Suiza); o en otro espacio territorial u organizativo considerado ADECUADO equivalente según el RGPD y/o por las autoridades competentes de la UE aplicable como de seguridad equivalente; o mediante las garantías adecuadas, normas corporativas vinculantes o excepciones, conforme a lo previsto en los arts. 45 a 49 RGPD. Fuera de tales supuestos no podrá tratarlos fuera de este espacio ni directamente ni a través de cualesquiera subcontratistas autorizados conforme a lo establecido los documentos contractuales, salvo que esté obligado a ello en virtud del Derecho de la Unión Europea o del Estado miembro que le resulte de aplicación. 2.14. En los supuestos en los que en virtud del Derecho de la Unión Europea o del Estado miembro que le resulte de aplicación a la empresa proveedora esta se vea obligada a llevar a cabo alguna TRANSFERENCIA INTERNACIONAL DE DATOS terceros países u organizaciones regulada en el art. 44 RGPD, el adjudicatario informará por escrito a MUTUALIA de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables a MUTUALIA, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público. 2.15. De conformidad con el artículo 33 RGPD, comunicar a Mutualia, de forma inmediata y a más tardar en el plazo de 72 horas, cualquier VIOLACIÓN DE LA SEGURIDAD de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener que ponga en peligro la seguridad de los Datos Personales, su integridad o su disponibilidad, así como cualquier posible VULNERACIÓN DE LA CONFIDENCIALIDAD como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución del contrato. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad. Todo ello conforme al modelo documental previsto en el Anexo II o en documento equivalente. 2.16. Cuando una persona interesada ejerza un DERECHO (de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, u otros reconocidos por la normativa aplicable (conjuntamente, los “Derechos”), ante el ENCARGADO del Tratamiento, éste debe comunicarlo a MUTUALIA con la mayor prontitud. La comunicación debe hacerse de forma inmediata a MUTUALIA, y en ningún caso más allá de 3 días hábiles siguientes al de la recepción del ejercicio de derecho, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder, e incluyendo la identificación fehaciente de quien ejerce el derecho y atendiendo a lo dispuesto en el RGPD y en la LOPDGDD en lo concerniente al derecho solicitado. 2.17. El ENCARGADO de Tratamiento asistirá a MUTUALIA, siempre que sea posible, para que ésta pueda cumplir y dar respuesta a los EJERCICIOS DE DERECHOS. 2.18. El ENCARGADO de Tratamiento deberá colaborar con MUTUALIA en el cumplimiento de sus obligaciones en materia de (i) implementación de MEDIDAS DE SEGURIDAD, (ii) comunicación y/o notificación de BRECHAS/VIOLACIONES DE SEGURIDAD (logradas e intentadas) a las autoridades competentes o a las personas interesadas, y (iii) colaborar en la realización de EVALUACIONES DE IMPACTO relativas a la protección de datos personales y (iv) CONSULTAS PREVIAS al respecto a las autoridades competentes; teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga. Asimismo, el ENCARGADO de Tratamiento pondrá a disposición de MUTUALIA, a requerimiento de esta, toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en este documento y demás documentos contractuales; y colaborará en la realización de auditoras e inspecciones llevadas a cabo, en su caso, por el personal designado por MUTUALIA. 2.19. En los casos en que la normativa así lo exija (art. 30.5 RGPD), el ENCARGADO de Tratamiento deberá llevar, por escrito, de conformidad con lo previsto en el artículo 30.2 RGPD un registro REGISTRO de todas las categorías de actividades de tratamiento efectuadas por cuenta de MUTUALIA (RESPONSABLE del responsableTratamiento), que contenga:, al menos, las circunstancias a que se refiere dicho artículo. 12.20. El nombre y los datos ENCARGADO de contacto del encargado o encargados y Tratamiento deberá disponer de cada responsable por cuenta del cual actúe el encargado y, en EVIDENCIAS que demuestren su caso, del representante del responsable o del encargado y del delegado cumplimiento de la normativa de protección de datos. 2Datos Personales y del deber de RESPONSABILIDAD PROACTIVA, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías; que habrá de poner a disposición de MUTUALIA a requerimiento de esta. Las categorías Asimismo, durante la vigencia del contrato, tendrá a disposición de tratamientos efectuados por cuenta de MUTUALIA toda información, certificaciones y auditorías realizadas en cada responsable. 3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, momento en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del Reglamento de Protección de Datos, la documentación de garantías adecuadas. 4. Cuando sea posible una descripción general de las medidas técnicas y organizativas de seguridad de aplicación conforme a lo establecido en el artículo 30 del Reglamento de Protección de Datos, especialmente relativas a: a. La seudonimización y el cifrado de los datos personales. b. La capacidad de garantizar la confidencialidad, la integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c. La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida. c) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable del Tratamiento, en los supuestos legal y reglamentariamente admisibles. d) Asistir al Responsable del Tratamiento, dentro de un periodo de tiempo razonable predeterminado por el Responsable del Tratamiento y siempre dentro de los límites máximos establecidos por el RGPD, para que éste pueda cumplir con las obligaciones contenidas en los siguientes artículos: (i) artículo 32 del RGPD (Seguridad del tratamiento); (ii) artículos 33 y 34 del RGPD (Notificación de una violación de la seguridad de los datos personales); (iii) Artículo 35 del RGPD (Evaluación de impacto relativa relación a la protección de datos) y (iv) artículo 36 del RGPD (Consulta Previa). e) El Responsable del Tratamiento autoriza expresamente al Encargado de Tratamiento a comunicar los datos a otros encargados del tratamiento del mismo responsable, personales que trata por cuenta de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicaciónMUTUALIA.

Obligaciones del encargado de tratamiento. El Encargado de Tratamiento Tanto MN PROGRAM como todo su personal se compromete a las siguientes obligaciones: obligan a) : - Utilizar los Datos Personales exclusivamente datos personales objeto de tratamiento solamente para la finalidad objeto de prestar este encargo. En ningún caso podrá utilizar los servicios especificados en las Condiciones Particulares, sin destinarlos a otras finalidades distintas y de acuerdo con las instrucciones documentadas facilitadas por el Responsable del Tratamientodatos para fines propios. - Si el encargado del tratamiento MN PROGRAM considera que alguna de las instrucciones infringe el Reglamento General de Protección de Datos o cualquier (RGPD), u otra disposición en materia de protección de datos de la Unión Unión, o de los Estados miembros en vigor al tiempo de la detección de la infracciónmiembros, el Encargado encargado informará inmediatamente al responsable. En caso de no tener clara alguna instrucción del Tratamiento informará fehacientemente al Responsable responsable sobre el modo en que ha de actuar el encargado respecto a los datos de carácter personal a los que tenga acceso, antes de realizar tratamiento de datos alguno, deberá ponerse en contacto con el responsable del Tratamiento en un plazo máximo tres (3) días hábiles. b) El encargado de tratamiento se compromete a llevar, y aclarar la situación. - Llevar por escrito, escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. presente el siguiente contenido: + El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado yencargado, y en su caso, del representante del responsable o del encargado y y, en su caso, del delegado de protección de datos. 2. + Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. + En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional yinternacional, y en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del Reglamento de Protección de DatosRGPD, la documentación de garantías adecuadas. 4. Cuando sea posible una + Una descripción general de las medidas técnicas que MN PROGRAM ha adoptado para la migración o recogida de datos, son: > La recogida y organizativas entrega de seguridad datos se realiza siempre cifrada a través de aplicación conforme una dirección URL dotada de SSL. > Los datos viajan directamente desde su equipo al servidor de MN PROGRAM > Asimismo, los ficheros con datos personales se preparan y “empaquetan” siempre en su ordenador, comprimiéndose en uno o varios ficheros de formato .rar, y se les añade una contraseña adicional de protección. > Sólo los usuarios autorizados podrán realizar el proceso de recogida y entrega de datos a lo establecido los clientes. > Hay un archivo de registro, de tipo log, tanto para los datos recogidos como para los entregados, en el artículo 30 que quedan registrados la siguiente información: Fecha, hora, número IP del Reglamento cliente, desde dónde se recogieron y/o entregaron los datos, el usuario concreto, el nombre del fichero y su destino. > En el servidor donde se almacenan los datos para su tratamiento, se tiene en estado de Protección “Auditoría permanente” el directorio que contienen dichos datos, teniendo un registro continuo de Datosaccesos y acciones que se producen en dicho directorio, especialmente relativas a: a. tal como modificaciones, eliminaciones, copias, etc. > A nivel interno, sólo los usuarios que tratarán los datos tendrán acceso al servidor que aloja dichos datos. Para que un usuario pueda acceder, será necesario concederle privilegios y permisos en el Directorio Activo de Windows. > Sólo se mantiene una copia de datos en las instalaciones de MN. Son los clientes los responsables de guardar todas las copias que sean necesarias. > Una vez finalizada la migración, y transcurrido el plazo de 15 días, los datos son destruidos. Por otro lado, las medidas técnicas que se han adoptado para la realización de soporte, solución de problemas o formaciones a través de la aplicación por parte del proveedor de MN PROGRAM, son: > ISL ha establecido una política de seguridad. Se emplea SSL para proteger la transferencia de datos; RSA 1024 Público / Clave privada de intercambio son usadas para intercambiar claves simétricas 256 Bits AES y encriptar la transmisión de datos end-to-end. > No es necesaria ninguna configuración de firewall para iniciar sesiones de control remoto, ya que automáticamente ISL Light realiza una conexión saliente. > La seudonimización capa de conexión segura (SSL) es un protocolo criptográfico que proporciona comunicaciones seguras por una red, comúnmente Internet. Para cada conexión ISL Light, una capa adicional SSL se establece a través de un protocolo HTTP. > Para establecer una conexión de soporte remoto de escritorio con un cliente, el operador necesita iniciar la aplicación ISL Light Operador, la cual transfiere una clave RSA 1024 Bit al servidor ISL Conference Proxy. El inicio de la conexión se establece cuando la clave Pública de la aplicación ISL Light Cliente y la clave Privada del ISL Conference Proxy son verificadas e intercambiadas correctamente. Los certificados standard X.509 son utilizados para garantizar la autenticidad de la transmisión. Claves RSA 1024 bit con el algoritmo criptográfico Xxxxxx-Xxxxxxx son usadas para intercambiar claves simétricas 256 Bits AES. Después del proceso de intercambio, toda la comunicación posterior entre las aplicaciones de ISL Light Cliente y Operador está encriptada utilizando claves simétricas AES 256 Bit. > El operador necesita ingresar en su cuenta de usuario ISL Online, indicando nombre de usuario y contraseña. Para obtener un código de sesión único, necesita ser identificado en el servidor ISL Conference Proxy, a través de su nombre de usuario y contraseña. Los datos encriptados AES 256 Bit, son enviados al ISL Conference Proxy para su validación. Allí se comprueba que el nombre de usuario y contraseña están presentes en la base de datos > Cuando la autenticación se produce con éxito, el ISL Conference Proxy genera un código de sesión único que es enviado a la aplicación ISL Light Operador, a través de un canal encriptado AES 256 Bit. Ahora el operador debe indicar el código de sesión al cliente y éste introducirá el código único en la aplicación ISL Light Cliente y se iniciará la conexión con el servidor ISL Conference Proxy. La aplicación ISL Light Operador transfiere una clave RSA 1024 Bit al servidor ISL Conference Proxy. El inicio de la conexión se establece cuando la clave Pública de la aplicación ISL Light Cliente y la clave Privada del ISL Conference Proxy son verificadas e intercambiadas correctamente. Los certificados standard X.509 son utilizados para garantizar la autenticidad de la transmisión. RSA 1024 bit con el algoritmo criptográfico Xxxxxx-Xxxxxxx son usadas para intercambiar claves simétricas 256 Bits AES. Después del proceso de intercambio, toda la comunicación posterior entre las aplicaciones de ISL Light Cliente y Operador está encriptada utilizando claves simétricas AES 256 Bit. Una vez la conexión entre ISL Light Cliente y Operador se haya establecido, el código de sesión se invalida automáticamente. > Una vez que las aplicaciones ISL Light Operador y Cliente coinciden el servidor ISL Conference Proxy, a través de un código de sesión único, se inicia la sincronización SSL. La aplicación ISL Light Cliente transfiere RSA 1024 Bit a la aplicación del Operador. Una conexión inicial se establece cuando la clave pública de la aplicación ISL Light Cliente y la privada de la del Operador son verificadas e intercambiadas entre sí satisfactoriamente. Los certificados standard X.509 son utilizados para garantizar la autenticidad de la transmisión. > RSA 1024 bit con el algoritmo criptográfico Xxxxxx-Xxxxxxx son usadas para intercambiar claves simétricas 256 Bits AES. Después del proceso de intercambio, toda la comunicación posterior entre las aplicaciones de ISL Light Cliente y Operador está encriptada utilizando claves simétricas AES 256 Bit. Un túnel de AES 256 Bit datos transferidos encriptados end-to-end SSL es establecido entre las aplicaciones ISL Light Operador y ISL Cliente. Toda la información intercambiada por el operador y el cifrado cliente esta encriptada end-to-end. > La transferencia de datos entre ISL Light Operador y ISL Light Cliente durante una sesión (imágenes de escritorio compartido, archivos, comunicación audio/video) no queda almacenada en el servidor ISL Conference Proxy. Únicamente los datos personalesparámetros básicos de la sesión (dirección IP de ISL Light Operador/Cliente, duración de la sesión, bytes transferidos, información sobre diálogos de sesión, etc. b. La capacidad ) se almacenan en el servidor ISL Conference Proxy. Las sesiones de garantizar la confidencialidadISL Light pueden ser grabadas. Sin embargo, la integridad, disponibilidad los usuarios de ISL Light Operador y resiliencia permanentes ISL Light Cliente recibirán notificaciones al iniciar y pausar el proceso de grabación. Los archivos de grabación se almacenan localmente en los sistemas equipos del operador o cliente. > Las aplicaciones ISL Light Operador y servicios ISL Light Cliente se encuentran firmadas digitalmente a través de tratamiento. c. La capacidad un certificado de restaurar la disponibilidad y el acceso firma de código. > ISL Light está diseñado para proporcionar soporte remoto a los datos personales clientes a través de forma rápida. c) No Internet, pero únicamente bajo petición y autorización del cliente. El cliente puede iniciar y finalizar la sesión en cualquier momento. Durante la sesión, el cliente dará su autorización para iniciar el escritorio compartido, para el control de ratón y teclado, envío de archivos, establecer comunicación audio y video, etc. > La funcionalidad del software es totalmente transparente, ya que la aplicación nunca se ejecuta en un segundo plano. > La política de garantía de calidad es implementada en el ciclo de desarrollo de producto ISL Online. Todas las aplicaciones de programa deben pasar por los siguientes niveles: desarrollo, candidata a ser publicada, prueba, lanzamiento oficial, distribución y descarga de usuario. > Se establecen garantías para que las aplicaciones del software que lleguen intactas a manos del usuario, llevando para ello a cabo diversos mecanismos como: inicios de ramas de desarrollo para la implementación de mejoras en la rama de progresión correspondiente, firma a través de un algoritmo encriptado de la aplicación, uso de controles de calidad del software, etc. - MN PROGRAM se compromete a no comunicar los datos a terceras personas, salvo que cuente con la autorización expresa y por escrito del Responsable del Tratamiento, responsable de tratamiento en los aquellos supuestos legal y reglamentariamente legalmente admisibles. d) Asistir al Responsable del Tratamiento, dentro de un periodo de tiempo razonable predeterminado por el Responsable del Tratamiento y siempre dentro de los límites máximos establecidos por el RGPD, para que éste pueda cumplir con las obligaciones contenidas en los siguientes artículos: (i) artículo 32 del RGPD (Seguridad del tratamiento); (ii) artículos 33 y 34 del RGPD (Notificación de una violación de la seguridad de los datos personales); (iii) Artículo 35 del RGPD (Evaluación de impacto relativa a la protección de datos) y (iv) artículo 36 del RGPD (Consulta Previa). e) . - El Responsable del Tratamiento autoriza expresamente al Encargado de Tratamiento a encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificaráidentificara, de forma previa y por escrito, la entidad — denominación social, CIF y dirección- a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicacióncomunicación —previo análisis del riesgo de la citada comunicación y del tipo de datos de carácter personal objeto de transmisión-. - Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés. - En lo que respecta a la transferencia internacional de datos, el encargado del tratamiento deberá notificar al responsable del tratamiento y acreditar por escrito el cumplimiento de los requisitos exigidos por la normativa vigente en protección de datos antes de proceder a dicha transferencia, asegurándose de que la entidad que reciba los datos otorgará la misma seguridad y cumplirá, con todos los requisitos exigidos por el Reglamento Europeo de Protección de Datos. - Mantener el deber xx xxxxxxx respecto a los datos de carácter personal. - Garantizar que las personas que se encuentren autorizadas para tratar los datos personales objetos del tratamiento se comprometan de forma expresa y por escrito a guardar y mantener la confidencialidad y a cumplir las medidas de seguridad aplicables. - Dar apoyo al responsable de tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda. - Dar apoyo al responsable del tratamiento en la realización de las consultas previas a la autoridad de control, cuando proceda. - Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

Obligaciones del encargado de tratamiento. El Encargado de Tratamiento Tanto MN PROGRAM como todo su personal se compromete a las siguientes obligacionesobligan a: a) Utilizar los Datos Personales exclusivamente datos personales objeto de tratamiento solamente para la finalidad objeto de prestar este encargo. En ningún caso podrá utilizar los servicios especificados en las Condiciones Particulares, sin destinarlos a otras finalidades distintas y de acuerdo con las instrucciones documentadas facilitadas por el Responsable del Tratamiento. datos para fines propios. b) Si el encargado del tratamiento MN PROGRAM considera que alguna de las instrucciones infringe el Reglamento General de Protección de Datos o cualquier (RGPD), u otra disposición en materia de protección de datos de la Unión Unión, o de los Estados miembros en vigor al tiempo de la detección de la infracciónmiembros, el Encargado encargado informará inmediatamente al responsable. En caso de no tener clara alguna instrucción del Tratamiento informará fehacientemente al Responsable responsable sobre el modo en que ha de actuar el encargado respecto a los datos de carácter personal a los que tenga acceso, antes de realizar tratamiento de datos alguno, deberá ponerse en contacto con el responsable del Tratamiento en un plazo máximo tres (3) días hábilestratamiento y aclarar la situación. bc) El encargado de tratamiento se compromete a llevar, Llevar por escrito, escrito un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: 1. presente el siguiente contenido: • El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado yencargado, y en su caso, del representante del responsable o del encargado y y, en su caso, del delegado de protección de datos. 2. • Las categorías de tratamientos efectuados por cuenta de cada responsable. 3. • En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional yinternacional, y en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del Reglamento de Protección de DatosRGPD, la documentación de garantías adecuadas. 4. Cuando sea posible una • Una descripción general de las medidas técnicas que MN PROGRAM ha adoptado para la migración o recogida de datos, son: La recogida y organizativas entrega de seguridad datos se realiza siempre cifrada a través de aplicación conforme una dirección URL dotada de SSL. Los datos viajan directamente desde su equipo al servidor de MN PROGRAM Asimismo, los ficheros con datos personales se preparan y “empaquetan” siempre en su ordenador, comprimiéndose en uno o varios ficheros de formato .rar, y se les añade una contraseña adicional de protección. Sólo los usuarios autorizados podrán realizar el proceso de recogida y entrega de datos a lo establecido los clientes. Hay un archivo de registro, de tipo log, tanto para los datos recogidos como para los entregados, en el artículo 30 que quedan registrados la siguiente información: Fecha, hora, número IP del Reglamento cliente, desde dónde se recogieron y/o entregaron los datos, el usuario concreto, el nombre del fichero y su destino. En el servidor donde se almacenan los datos para su tratamiento, se tiene en estado de Protección “Auditoría permanente” el directorio que contienen dichos datos, teniendo un registro continuo de Datosaccesos y acciones que se producen en dicho directorio, especialmente relativas a: a. tal como modificaciones, eliminaciones, copias, etc. A nivel interno, sólo los usuarios que tratarán los datos tendrán acceso al servidor que aloja dichos datos. Para que un usuario pueda acceder, será necesario concederle privilegios y permisos en el Directorio Activo de Windows. Sólo se mantiene una copia de datos en las instalaciones de MN. Son los clientes los responsables de guardar todas las copias que sean necesarias. Una vez finalizada la migración, y transcurrido el plazo de 15 días, los datos son destruidos. Por otro lado, las medidas técnicas que se han adoptado para la realización de soporte, solución de problemas o formaciones a través de la aplicación por parte del proveedor de MN PROGRAM, son: ISL ha establecido una política de seguridad. Se emplea SSL para proteger la transferencia de datos; RSA 1024 Público / Clave privada de intercambio son usadas para intercambiar claves simétricas 256 Bits AES y encriptar la transmisión de datos end-to-end. No es necesaria ninguna configuración de firewall para iniciar sesiones de control remoto, ya que automáticamente ISL Light realiza una conexión saliente. La seudonimización capa de conexión segura (SSL) es un protocolo criptográfico que proporciona comunicaciones seguras por una red, comúnmente Internet. Para cada conexión ISL Light, una capa adicional SSL se establece a través de un protocolo HTTP. Para establecer una conexión de soporte remoto de escritorio con un cliente, el operador necesita iniciar la aplicación ISL Light Operador, la cual transfiere una clave RSA 1024 Bit al servidor ISL Conference Proxy. El inicio de la conexión se establece cuando la clave Pública de la aplicación ISL Light Cliente y la clave Privada del ISL Conference Proxy son verificadas e intercambiadas correctamente. Los certificados standard X.509 son utilizados para garantizar la autenticidad de la transmisión. Claves RSA 1024 bit con el algoritmo criptográfico Xxxxxx-Xxxxxxx son usadas para intercambiar claves simétricas 256 Bits AES. Después del proceso de intercambio, toda la comunicación posterior entre las aplicaciones de ISL Light Cliente y Operador está encriptada utilizando claves simétricas AES 256 Bit. El operador necesita ingresar en su cuenta de usuario ISL Online, indicando nombre de usuario y contraseña. Para obtener un código de sesión único, necesita ser identificado en el servidor ISL Conference Proxy, a través de su nombre de usuario y contraseña. Los datos encriptados AES 256 Bit, son enviados al ISL Conference Proxy para su validación. Allí se comprueba que el nombre de usuario y contraseña están presentes en la base de datos Cuando la autenticación se produce con éxito, el ISL Conference Proxy genera un código de sesión único que es enviado a la aplicación ISL Light Operador, a través de un canal encriptado AES 256 Bit. Ahora el operador debe indicar el código de sesión al cliente y éste introducirá el código único en la aplicación ISL Light Cliente y se iniciará la conexión con el servidor ISL Conference Proxy. La aplicación ISL Light Operador transfiere una clave RSA 1024 Bit al servidor ISL Conference Proxy. El inicio de la conexión se establece cuando la clave Pública de la aplicación ISL Light Cliente y la clave Privada del ISL Conference Proxy son verificadas e intercambiadas correctamente. Los certificados standard X.509 son utilizados para garantizar la autenticidad de la transmisión. RSA 1024 bit con el algoritmo criptográfico Xxxxxx-Xxxxxxx son usadas para intercambiar claves simétricas 256 Bits AES. Después del proceso de intercambio, toda la comunicación posterior entre las aplicaciones de ISL Light Cliente y Operador está encriptada utilizando claves simétricas AES 256 Bit. Una vez la conexión entre ISL Light Cliente y Operador se haya establecido, el código de sesión se invalida automáticamente. Una vez que las aplicaciones ISL Light Operador y Cliente coinciden el servidor ISL Conference Proxy, a través de un código de sesión único, se inicia la sincronización SSL. La aplicación ISL Light Cliente transfiere RSA 1024 Bit a la aplicación del Operador. Una conexión inicial se establece cuando la clave pública de la aplicación ISL Light Cliente y la privada de la del Operador son verificadas e intercambiadas entre sí satisfactoriamente. Los certificados standard X.509 son utilizados para garantizar la autenticidad de la transmisión. RSA 1024 bit con el algoritmo criptográfico Xxxxxx-Xxxxxxx son usadas para intercambiar claves simétricas 256 Bits AES. Después del proceso de intercambio, toda la comunicación posterior entre las aplicaciones de ISL Light Cliente y Operador está encriptada utilizando claves simétricas AES 256 Bit. Un túnel de AES 256 Bit datos transferidos encriptados end-to-end SSL es establecido entre las aplicaciones ISL Light Operador y ISL Cliente. Toda la información intercambiada por el operador y el cifrado cliente esta encriptada end-to-end. La transferencia de datos entre ISL Light Operador y ISL Light Cliente durante una sesión (imágenes de escritorio compartido, archivos, comunicación audio/video) no queda almacenada en el servidor ISL Conference Proxy. Únicamente los datos personalesparámetros básicos de la sesión (dirección IP de ISL Light Operador/Cliente, duración de la sesión, bytes transferidos, información sobre diálogos de sesión, etc.) se almacenan en el servidor ISL Conference Proxy. Las sesiones de ISL Light pueden ser grabadas. Sin embargo, los usuarios de ISL Light Operador y ISL Light Cliente recibirán notificaciones al iniciar y pausar el proceso de grabación. Los archivos de grabación se almacenan localmente en los equipos del operador o cliente. Las aplicaciones ISL Light Operador y ISL Light Cliente se encuentran firmadas digitalmente a través de un certificado de firma de código. ISL Light está diseñado para proporcionar soporte remoto a los clientes a través de Internet, pero únicamente bajo petición y autorización del cliente. El cliente puede iniciar y finalizar la sesión en cualquier momento. Durante la sesión, el cliente dará su autorización para iniciar el escritorio compartido, para el control de ratón y teclado, envío de archivos, establecer comunicación audio y video, etc. La funcionalidad del software es totalmente transparente, ya que la aplicación nunca se ejecuta en un segundo plano. La política de garantía de calidad es implementada en el ciclo de desarrollo de producto ISL Online. Todas las aplicaciones de programa deben pasar por los siguientes niveles: desarrollo, candidata a ser publicada, prueba, lanzamiento oficial, distribución y descarga de usuario. Se establecen garantías para que las aplicaciones del software que lleguen intactas a manos del usuario, llevando para ello a cabo diversos mecanismos como: inicios de ramas de desarrollo para la implementación de mejoras en la rama de progresión correspondiente, firma a través de un algoritmo encriptado de la aplicación, uso de controles de calidad del software, etc. b. La capacidad de garantizar la confidencialidad, la integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. c. La capacidad de restaurar la disponibilidad y el acceso d) MN PROGRAM se compromete a los datos personales de forma rápida. c) No no comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable del Tratamiento, responsable de tratamiento y en los aquellos supuestos legal y reglamentariamente legalmente admisibles. d) Asistir al Responsable del Tratamiento, dentro de un periodo de tiempo razonable predeterminado por el Responsable del Tratamiento y siempre dentro de los límites máximos establecidos por el RGPD, para que éste pueda cumplir con las obligaciones contenidas en los siguientes artículos: (i) artículo 32 del RGPD (Seguridad del tratamiento); (ii) artículos 33 y 34 del RGPD (Notificación de una violación de la seguridad de los datos personales); (iii) Artículo 35 del RGPD (Evaluación de impacto relativa a la protección de datos) y (iv) artículo 36 del RGPD (Consulta Previa). e) El Responsable del Tratamiento autoriza expresamente al Encargado de Tratamiento a encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificaráidentificara, de forma previa y por escrito, la entidad — denominación social, CIF/NIF y dirección- a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicacióncomunicación —previo análisis del riesgo de la citada comunicación y del tipo de datos de carácter personal objeto de transmisión-.