CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL
CONTRATO DE ENCARGO DE TRATAMIENTO DE DATOS DE CARÁCTER PERSONAL
El presente Contrato de Encargo de Tratamiento de Datos de Carácter Personal hace parte de los Términos y Condiciones aceptadas por el Cliente (en adelante “El Cliente” o “RESPONSABLE DEL TRATAMIENTO”) por la compra de productos Bizagi. Este Contrato aplica a todas las actividades desarrolladas en conexión con la compra de productos Bizagi, mediante las cuales personal de Bizagi (en adelante “Bizagi” o “ENCARGADO DEL TRATAMIENTO”), subencargados y terceros que actúen en nombre del ENCARGADO DEL TRATAMIENTO, tengan acceso a datos de carácter personal del Cliente. Para los términos del presente Contrato, y salvo que se establezca lo contrario, el término “Cliente” incluye el Cliente y sus Filiales.
En el curso de la prestación de Servicios Cloud, Licenciamiento de Software, Servicios Profesionales, Mantenimiento, Soporte Técnico y Soporte Premium, y en virtud de este Contrato, Bizagi podrá tratar datos de carácter personales en beneficio del Cliente. Por lo anterior Las partes:
EXPONEN Y ACUERDAN
I. Que como consecuencia de la aceptación por parte del Cliente de los Términos y Condiciones aplicables a la compra de productos Bizagi y en el marco de la prestación de los servicios derivados de dicha compra (en adelante, los "Servicios") el ENCARGADO DEL TRATAMIENTO tratará datos de carácter personal responsabilidad del Cliente. A tal efecto, las Partes reconocen que el Cliente es el Responsable del tratamiento y que BIZAGI es el Encargado del tratamiento en relación con los datos de carácter personal que BIZAGI tratará durante la prestación de los Servicios.
II. Que es de interés de ambas partes que el tratamiento de los datos de carácter personal por el ENCARGADO DEL TRATAMIENTO por cuenta del RESPONSABLE DEL TRATAMIENTO se realice con el mayor grado de confidencialidad y seguridad posibles, cumpliendo con, entre otras, cuantas obligaciones generales o particulares se deriven del Reglamento (UE) 2016/679 de 27 xx xxxxx de 2016 (en adelante, el "Reglamento"), de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, la "LOPD"), así como de cualquier normativa aplicable en materia de Protección de Datos de carácter personal.
ESTIPULACIONES
1. Definiciones
1.1. "Bizagi", se refiere a Bizagi Ibérica S.L.U, así como a cualquiera de sus Afiliadas que estén involucradas en la prestación de los Servicios.
1.2. “Cliente”, significa la sociedad comercial, constituida de conformidad a las leyes, que adquiere productos o servicios Bizagi mediante la aceptación de los respectivos Términos y Condiciones.
1.3. "Cláusulas Contractuales Tipo" se refiere al acuerdo de las Partes de firmar las cláusulas contractuales incluidas en el presente Contrato de Encargo como Apéndice D en caso de transferencia internacional fuera del Espacio Económico Europeo, de conformidad con la Decisión de la Comisión, de 5 de febrero de 2010, relativa a las cláusulas contractuales tipo para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del Consejo.
1.4. "Filial", significa cualquier entidad con personalidad jurídica propia que, con respecto a alguna Parte del Contrato, controla, es controlada o está bajo control común de una de las Partes, ya sea de manera directa, indirecta, por propiedad compartida, por contrato o por cualquier otra manera. Respecto a esta definición, el término control y sus términos correlativos deberán entenderse como ostentar la propiedad directa o indirecta a través de una o más filiales, del
cincuenta por ciento (50%) o más de las acciones con derecho a voto en la elección de los directores de una compañía, o cualquier otro arreglo por el cual una Parte tenga la facultad para decidir sobre la dirección, administración y las políticas de dicha persona jurídica.
1.5. "Legislación de Protección de Datos" habrá de interpretarse de acuerdo con el Reglamento, la LOPD, la Directiva 2002/58/CE, así como otra cualquier norma y/o regulación implementada o creada de acuerdo con las citadas normativas, o que modifique, reemplace, recree o consolide cualquiera de ellas, así como cualesquiera otras leyes aplicables al tratamiento de datos de carácter personal que puedan existir en cualquier jurisdicción, incluyendo, cuando proceda, las guías y códigos de práctica publicados por las autoridades de control.
1.6. "Responsable del tratamiento", "Encargado del tratamiento", "interesado", "datos personales", "tratamiento", "medidas técnicas y organizativas apropiadas", "autoridad de control", "registro de actividades de tratamiento", "evaluación de impacto", habrá de interpretarse de acuerdo con la Legislación de Protección de Datos aplicable en la jurisdicción relevante.
1.7. "Subencargado del tratamiento" significa cualquier encargado del tratamiento contratado por Bizagi para el tratamiento de datos de carácter personal.
1.8. "Violación de la seguridad" significa toda violación de la seguridad de los datos personales que ocasione la destrucción, pérdida o alteración accidental o ilícita de los datos personales a los que haya tenido acceso y/o hayan sido tratados por el Encargado del tratamiento durante la prestación de los Servicios.
1.9. Cualesquiera otros términos definidos y utilizados en este Contrato de Encargo habrán de interpretarse de conformidad con lo establecido en el Contrato de Servicios.
2. Objeto
El presente Contrato de Encargo tiene por objeto:
2.1. Definir los términos y condiciones conforme a los cuales el ENCARGADO DEL TRATAMIENTO llevará a cabo el tratamiento de los datos personales a los que acceda en el marco de los Servicios.
2.2. Ser de aplicación, en el marco de los Servicios, al tratamiento de datos personales llevado a cabo por el personal del ENCARGADO DEL TRATAMIENTO, subencargados y terceros que actúen en nombre del ENCARGADO DEL TRATAMIENTO.
2.3. Establecer las condiciones de confidencialidad aplicables que el ENCARGADO DEL TRATAMIENTO, y todo su personal, colaboradores y/o agentes deberán cumplir en todo momento durante la prestación de los Servicios, y una vez finalizado el mismo.
3. Duración y Finalidad del tratamiento de los datos de carácter personal
3.1. El objeto del tratamiento es la prestación de los Servicios y el presente Contrato de Encargo tendrá la misma duración que el Contrato de Servicios formalizado, del cual forma parte inseparable. En el Apéndice A del presente Contrato de Encargo se establece una breve descripción del objeto del tratamiento, la naturaleza y finalidad del tratamiento, el tipo de datos personales tratados por el ENCARGADO DEL TRATAMIENTO, así como las categorías de los interesados cuyos datos personales serán tratados en el marco de la prestación de los Servicios.
3.2. El tratamiento de los datos de carácter personal que el ENCARGADO DEL TRATAMIENTO realice, se limitará a los tratamientos necesarios para prestar al RESPONSABLE DEL TRATAMIENTO los Servicios y en todo caso, estará sujeto a las instrucciones documentadas del RESPONSABLE DEL TRATAMIENTO (de acuerdo con lo especificado en este Contrato de Encargo), las cuales deberán estar firmadas por ambas Partes.
3.3. El ENCARGADO DEL TRATAMIENTO se obliga a no realizar ningún otro tratamiento sobre los datos de carácter personal ni a aplicar o utilizar los datos de carácter personal con una finalidad distinta a la prestación de los Servicios.
3.4. Si el ENCARGADO DEL TRATAMIENTO estuviera obligado a tratar los datos para cualquier otro fin en virtud del Derecho de la Unión o de los Estados Miembros, informará al RESPONSABLE DEL TRATAMIENTO de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público.
3.5. El ENCARGADO DEL TRATAMIENTO se obliga a informar inmediatamente al RESPONSABLE DEL TRATAMIENTO si considerase que alguna de las instrucciones de este infringe la Legislación de Protección de Datos o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados Miembros.
4. Seguridad de los datos personales
4.1. El ENCARGADO DEL TRATAMIENTO declara conocer que está obligado a implementar y mantener las medidas técnicas y organizativas apropiadas para proteger los datos de carácter personal contra el tratamiento no autorizado o ilícito, y contra la pérdida, destrucción, alteración, daño o robo accidentales o ilícitos.
4.2. Estas medidas serán las apropiadas teniendo en cuenta: (i) los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, y (ii) la naturaleza de los datos de carácter personal objeto de protección. Estas medidas habrán de cumplir con los requisitos establecidos en el Apéndice B de este Contrato de Encargo.
5. Prohibición de comunicación de los datos personales
5.1. El ENCARGADO DEL TRATAMIENTO se compromete a guardar bajo su control y custodia todos los datos del RESPONSABLE DEL TRATAMIENTO a los que acceda con motivo de la prestación delos Servicios y a no divulgarlos o transferirlos a otras personas.
6. Obligaciones y Responsabilidades de las Partes
6.1. Las Partes se obligan a llevar un registro de actividades del tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener toda la información mínima exigida en la Legislación de Protección de Datos y estará a disposición de la Autoridad de control competente.
6.2. El ENCARGADO DEL TRATAMIENTO se compromete a:
6.2.1. Poner a disposición del RESPONSABLE DEL TRATAMIENTO toda la información necesaria para demostrar el cumplimiento de sus obligaciones en caso de que así se le solicite.
6.2.2. Cumplir con las obligaciones establecidas en el presente Contrato de Encargo y en la Legislación de Protección de Datos.
6.2.3. Notificar inmediatamente al RESPONSABLE DEL TRATAMIENTO en caso de recibir una solicitud de ejercicio de los derechos de los interesados.
6.2.4. Asistir al RESPONSABLE DEL TRATAMIENTO en caso de una solicitud de ejercicio de los derechos de los interesados:
(a) Acceso, rectificación, supresión y oposición.
(b) Limitación del tratamiento.
(c) Portabilidad de los datos.
(d) A no ser objeto de decisiones individualizadas automatizadas.
Cuando las personas afectadas ejerzan los derechos arriba especificados ante el RESPONSABLE DEL TRATAMIENTO, éste debe comunicarlo por correo electrónico a la siguiente dirección xxxxxxx@xxxxxx.xxx. La comunicación deberá hacerse de forma inmediata y en ningún caso, más allá las 48 horas siguientes a la recepción de la solicitud.
6.2.5. Conforme el artículo 82 del Reglamento, el ENCARGADO DEL TRATAMIENTO se hace responsable frente al RESPONSABLE DEL TRATAMIENTO por los daños y perjuicios causados a interesados o terceros incluidas las sanciones administrativas, que se deriven de reclamaciones
judiciales o extrajudiciales o de procedimientos sancionadores de la Autoridad de control, que sean consecuencia de la inobservancia de las instrucciones asumidas en el presente Contrato de Encargo y/o del cumplimiento defectuoso del Reglamento.
6.3. Corresponde al RESPONSABLE DEL TRATAMIENTO:
6.3.1. Entregar al ENCARGADO DEL TRATAMIENTO las instrucciones por escrito del tratamiento de los datos personales, conforme a la cláusula 3 del presente Contrato de Encargo, las cuales deberán estar firmadas por ambas Partes.
6.3.2. Realizar una evaluación de impacto de las operaciones de tratamiento de datos a realizar por el ENCARGADO DEL TRATAMIENTO.
6.3.3. Realizar las consultas previas que corresponda.
6.3.4. Responder a las solicitudes de ejercicio de derechos de los interesados.
6.3.5. Facilitar el derecho de información a los interesados cuyos datos personales sean solicitados para el tratamiento, en el momento de la recogida de los mismos.
6.3.6. Velar, de forma previa, y durante todo el tratamiento por el cumplimiento de la Legislación de Protección de Datos.
7. Obligación de devolución y/o supresión de datos personales
7.1. El ENCARGADO DEL TRATAMIENTO, su personal, colaboradores y/o agentes deberán, destruir a la terminación de la prestación de los Servicios, cualquier clase de documento, material, archivo o soporte, incluidas copias totales o parciales, que contengan datos de carácter personal que estén en su posesión y/o de sus subcontratistas a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados Miembros.
7.2. En caso de que el ENCARGADO DEL TRATAMIENTO, su personal, colaboradores y/o agentes estén obligados legalmente a preservar un respaldo de su información corporativa durante un periodo legalmente estipulado, se debe proceder a la destrucción del material del RESPONSABLE DEL TRATAMIENTO una vez vencido el periodo legalmente estipulado.
8. Copias de Seguridad
8.1. El ENCARGADO DEL TRATAMIENTO se compromete a no copiar ni reproducir la información facilitada por el RESPONSABLE DEL TRATAMIENTO, salvo cuando sea necesario para su tratamiento o para implantar las medidas de seguridad a las que está legalmente obligado como Encargado de tratamiento.
8.2. En este último supuesto, cada una de las copias o reproducciones estará sometida a los mismos compromisos y obligaciones que se establecen en el clausulado del presente Contrato de Encargo, debiendo ser destruidas conforme se indica en la cláusula 7.
9. Violaciones de Seguridad
En caso de notificación de una Violación de la seguridad, el ENCARGADO DE TRATAMIENTO:
9.1. Lo notificará inmediatamente al RESPONSABLE DEL TRATAMIENTO, y, en la medida que sea posible, proveerá al RESPONSABLE DEL TRATAMIENTO con una descripción detallada de la violación de la seguridad, la cual incluirá:
(a) El posible impacto de la Violación de la seguridad.
(b) Las categorías y el número aproximado de interesados afectados, así como su país de residencia y el número aproximado de registros de datos personales afectados.
(c) El riesgo que haya provocado la Violación de la seguridad a los afectados.
(d) Las medidas adoptadas o propuestas por el ENCARGADO DE TRATAMIENTO para poner remedio a la Violación de seguridad y para mitigar los posibles efectos negativos.
9.2. Cooperará con el RESPONSABLE DEL TRATAMIENTO y le proporcionará asistencia razonable, en relación con la Violación de seguridad.
9.3. No divulgará ni publicará cualquier comunicación, aviso, comunicado de prensa o informe relacionado con la Violación de la seguridad sin la previa autorización por escrito del RESPONSABLE DEL TRATAMIENTO (excepto en el caso de que estuviera obligado a ello de conformidad con lo dispuesto en la legislación aplicable).
10. Subcontratación
10.1. En virtud del presente Contrato de Encargo se autoriza al ENCARGADO DEL TRATAMIENTO a realizar las subcontrataciones especificadas en el Apéndice C del presente Contrato de Encargo, así como la subcontratación de sus propias Filiales, las cuales el RESPONSABLE DE TRATAMIENTO declara conocer, para la realización de algunas de las obligaciones derivadas de los Servicios, las cuales son necesarias para el cumplimiento de los Servicios.
10.2. Para subcontratar con otras empresas diferentes a las señaladas en el apartado 10.1 anterior, el ENCARGADO DEL TRATAMIENTO deberá comunicarlo al RESPONSABLE DEL TRATAMIENTO. En caso de que el RESPONSABLE DEL TRATAMIENTO lo solicite, el ENCARGADO DEL TRATAMIENTO deberá identificar la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el RESPONSABLE DEL TRATAMIENTO no manifiesta su oposición.
10.3. El ENCARGADO DEL TRATAMIENTO informará por correo electrónico al RESPONSABLE DEL TRATAMIENTO de cualquier cambio previsto en las subcontrataciones especificadas en el Apéndice C del presente Contrato de Encargo. El RESPONSABLE DEL TRATAMIENTO podrá oponerse a dichos cambios en un plazo de 10 días.
10.4. El subcontratista (en adelante, "Subencargado"), que también tiene la condición de Encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el ENCARGADO DEL TRATAMIENTO y las instrucciones que dicte el RESPONSABLE DEL TRATAMIENTO. Corresponde al ENCARGADO DEL TRATAMIENTO inicial regular la nueva relación, de forma que el Subencargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del Subencargado, el ENCARGADO DEL TRATAMIENTO seguirá siendo plenamente responsable ante el RESPONSABLE DEL TRATAMIENTO en lo referente al cumplimiento de las obligaciones.
10.5. En el caso de que se contemple la subcontratación de terceros en el Contrato de Servicios establecido entre el RESPONSABLE DEL TRATAMIENTO y el ENCARGADO DE TRATAMIENTO y los servicios objeto de subcontratación impliquen el acceso y tratamiento por parte del subcontratista de los datos de carácter personal del RESPONSABLE DEL TRATAMIENTO, el RESPONSABLE DEL TRATAMIENTO otorga al ENCARGADO DEL TRATAMIENTO poder específico para por cuenta y en nombre del RESPONSABLE DEL TRATAMIENTO, suscribir, de forma previa al inicio de la subcontratación, un contrato de encargo del tratamiento con los subcontratistas en términos idénticos al presente Contrato de Encargo, cuya copia deberá ser remitida al RESPONSABLE DEL TRATAMIENTO. El ENCARGADO DEL TRATAMIENTO será responsable ante el RESPONSABLE DEL TRATAMIENTO de cualquier incumplimiento en materia de protección de datos por parte de los subcontratistas.
10.6. En caso de que (i) la Comisión Europea fije o cualquier autoridad de control adopte Cláusulas Contractuales Tipo para los asuntos a los que se refieren los artículos 28.3 y 28.4 del Reglamento, de conformidad con lo establecido en los artículos 28.7 y 28.8 del Reglamento (según proceda), y (ii) el RESPONSABLE DEL TRATAMIENTO notifique al ENCARGADO DEL TRATAMIENTO su deseo de incorporar elementos de dichas Cláusulas Contractuales Tipo al presente Contrato de Encargo, el ENCARGADO DEL TRATAMIENTO aceptará los cambios requeridos por el RESPONSABLE DEL TRATAMIENTO para lograr este objetivo.
11. Auditoría
11.1. El ENCARGADO DEL TRATAMIENTO se obliga a poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones. El ENCARGADO de TRATAMIENTO pondrá a disposición RESPONSABLE DEL TRATAMIENTO los informes de auditoría efectuados por el ENCARGADO DE TRATAMIENTO.
11.2. Las auditorías reguladas en la presente cláusula tienen por objetivo verificar el cumplimiento por parte del ENCARGADO DEL TRATAMIENTO de sus obligaciones de conformidad con lo establecido en el presente Contrato de Encargo.
11.3. Toda la información obtenida y derivada de las auditorias será tratada como Información Confidencial. según se define ésta en el Contrato de Servicios, del ENCARGADO DEL TRATAMIENTO.
12. Transferencias Internacionales
12.1. El ENCARGADO DEL TRATAMIENTO podrá tratar los datos personales del RESPONSABLE DEL TRATAMIENTO fuera del Espacio Económico Europeo, siempre y cuando se cumpla con la Legislación de Protección de Datos. Dicho cumplimiento puede incluir la suscripción de Cláusulas Contractuales Tipo entre RESPONSABLE DEL TRATAMIENTO y ENCARGADO DEL TRATAMIENTO.
12.2. Las transferencias de datos personales procedentes del Espacio Económico Europeo o de Suiza realizadas a Filiales de BIZAGI o a terceros subencargados situados en países fuera del Espacio Económico Europeo o de Suiza que no hayan recibido una decisión de adecuación vinculante por parte de la Comisión Europea o de una Autoridad de control competente en materia de protección de datos, quedarán sujetas a: (i) las condiciones de las Cláusulas Contractuales Tipo; o (ii) otros mecanismos de transferencia apropiados que proporcionen un nivel adecuado de protección, de conformidad con la Legislación de Protección de Datos.
13. Cláusulas Contractuales Tipo
13.1. En caso de que el tratamiento de datos personales implique la transferencia de datos personales a terceros países que no garanticen un nivel adecuado de protección de datos según lo determinado por la Comisión Europea, serán de aplicación las Cláusulas Contractuales Tipo.
13.2. En caso de contradicción entre lo dispuesto en este Contrato de Encargo y lo dispuesto en las Cláusulas Contractuales Tipo, prevalecerá lo dispuesto en estas últimas.
13.3. Las Cláusulas Contractuales Tipo están incluidas en el Apéndice D del presente Contrato de Encargo.
14. Entrada en vigor
14.1. El presente Contrato de Encargo entrará en vigor a la fecha de aceptación de los Términos y Condiciones objeto de Los Servicios y estará vigente hasta la fecha de terminación de la prestación de los Servicios, y sus prórrogas, por parte del ENCARGADO DEL TRATAMIENTO a favor del RESPONSABLE DEL TRATAMIENTO y se hayan cumplido las obligaciones contempladas en el presente Contrato de Encargo con independencia de cualquier otra obligación de carácter legal que fuera aplicable a las Partes tras la terminación de dicha relación.
APÉNDICE A Descripción de la naturaleza y finalidad del tratamiento, el tipo de datos personales tratados por el ENCARGADO DEL TRATAMIENTO y categorías de los interesados
1. Objeto del tratamiento
El objeto del tratamiento y la duración del mismo se establecen en el presente Contrato y los Términos y Condiciones aceptados por el Cliente.
2. Naturaleza y finalidad del tratamiento
Bizagi procesará los datos de carácter personal necesarios para la prestación de los Servicios en virtud de los Términos y Condiciones aceptados por el Cliente, y según lo especificado en la Documentación y lo instruido por el Cliente al momento de hacer uso del servicio de Mantenimiento del Software.
3. Categorías de interesados
El Cliente podrá suministrar datos de carácter personal durante la ejecución de los Servicios, cuyo alcance será determinado y controlado bajo la discrecionalidad del Cliente. Los datos de carácter personal podrán incluir de manera enunciativa mas no limitativa las siguientes categorías de interesados:
• Empleados y personas de contacto de clientes potenciales, clientes, socios de negocios y vendedores.
• Empleados, agentes, asesores, contratistas del cliente (personas naturales).
• Usuarios autorizados por el cliente para el uso de los Servicios.
Las categorías de interesados cuyos datos personales serán tratados por el ENCARGADO DEL TRATAMIENTO en el marco de la prestación de los Servicios son: [Empleados/candidatos/clientes/clientes potenciales/proveedores].
4. Categorías de datos personales
El Cliente podrá suministrar datos de carácter personal durante la ejecución de los Servicios, cuyo alcance será determinado y controlado bajo la discrecionalidad del Cliente. Los datos de carácter personal podrán incluir de manera enunciativa mas no limitativa las siguientes categorías:
• Nombre y ApellidoBizagi1Bogota10
• Cargo
• Empleador
• Datos Académicos
• Datos de contacto (compañía, correo electrónico, teléfono, dirección)
• Datos de identificación
• Datos profesionales
5. Categorías especiales de datos personales (si procede)
El Cliente podrá suministrar datos personales de carácter especial durante la ejecución de los Servicios, cuyo alcance será determinado y controlado bajo la discrecionalidad del Cliente. Los datos personales de carácter especial podrán incluir de manera enunciativa mas no limitativa las siguientes categorías:
• Ideología
• Afiliación sindical
• Religión
• Creencias
• Origen racial o étnico
• Salud
• Vida sexual
[Ideología/Afiliación sindical/Religión/Creencias/Origen racial o étnico/Salud/Vida sexual].
6. Duración
El término de este Contrato de Encargo.
APÉNDICE B Medidas de seguridad
1. Control de acceso a las oficinas e instalaciones
Han de implementarse medidas que prevengan el acceso no autorizado a las oficinas e instalaciones donde se contengan datos de carácter personal. Dichas medidas habrán de incluir:
• Sistema de control de acceso
• Lector de identidad, tarjeta magnética, tarjeta con chip
• Puesta a disposición de llaves
• Cerradura en la puerta (puertas automáticas, etc.)
• Instalaciones de vigilancia
• Sistema de alarma, video y monitores de videovigilancia • Registro de salidas y entradas en las instalaciones
2. Control de acceso a los sistemas
Han de implementarse medidas que prevengan contra el acceso no autorizado en los sistemas de IT. Las medidas deben incluir las siguientes medidas técnicas y organizativas para la identificación y autentificación del usuario:
• Procedimiento de contraseñas (incl. caracteres especiales, longitud mínima, cambio obligatorio de la contraseña)
• Prohibido el acceso a usuarios invitados o cuentas anónimas
• Administración central del sistema de acceso
• El acceso a los sistemas de IT ha de estar sujeto a la previa aprobación por parte de Recursos Humanos y el Administrador de Sistemas
3. Control de acceso a los datos
Han de implementarse medidas que impidan a los usuarios autorizados acceder a datos de carácter personal a los que no tengan autorización para acceder, y prevenir la lectura, copia, eliminación, modificación, o cesión no autorizada de datos. Estas medidas incluirán:
• Derechos de acceso diferenciados
• Derechos de acceso definidos en función de los roles y responsabilidades
• Registro automatizado del acceso de usuarios a través de los sistemas de IT
• Medidas que prevengan contra el uso de sistemas automatizados de tratamiento de datos por parte de personas sin autorización utilizando además equipos de comunicación de datos
4. Control de la revelación de datos
Han de implementarse medidas para prevenir el acceso, alteración o eliminación no autorizados de datos de carácter personal durante su comunicación, y para asegurar que todas las comunicaciones de datos son seguras y están registradas. Estas medidas deberán incluir:
• Uso obligatorio de una red privada propiedad de la empresa para todas las comunicaciones de datos
• Encriptación y/o cifrado de datos usando una VPN para el acceso remoto, transporte y comunicación de datos
• Prohibición de transportar ordenadores
• Crear un registro de auditoría de todas las comunicaciones de datos
5. Control de acceso
Han de implementarse medidas que aseguren que se registra toda la administración y el mantenimiento de los datos, y que se lleve a cabo un registro de auditoría sobre si los datos han sido introducidos, cambiados o eliminados y quien ha de mantener dicho registro.
Las medidas deben incluir:
• Registro de actividades de usuarios en los sistemas de IT
• Asegurar que es posible verificar y establecer a qué órganos han sido transmitidos los datos de carácter personal utilizando equipos de comunicación de datos
• Asegurar que es posible verificar y especificar qué datos de carácter personal han sido incluir en sistemas automatizados de datos y cuando y quién ha sido el que los ha incluido
6. Control de trabajo
Han de implementarse medidas para asegurar que los datos son exclusivamente tratados siguiendo las instrucciones del ENCARGADO DEL TRATAMIENTO. Estas medidas deben incluir:
• Texto inequívoco de las instrucciones
• Monitorización del cumplimiento del contrato
7. Control de disponibilidad
Han de implementarse medidas para asegurar que los datos están protegidos contra la destrucción o pérdida accidental.
Dichas medidas han de incluir:
• Asegurar que los sistemas instalados puedan, en caso de interrupción, ser restaurados
• Asegurar que los sistemas están en funcionamiento y que los fallos son debidamente reportados
• Asegurar que los datos personales almacenados no puedan corromperse debido a un mal funcionamiento del sistema
• Fuente de alimentación ininterrumpida (UPS)
• Procedimientos para asegurar la continuidad del negocio
• Almacenamiento remoto
• Antivirus/sistemas de firewall
8. Control de segregación
Han de implementarse medidas para permitir que los datos que hayan sido recabados para distintas finalidades puedan ser tratados de forma separada.
Estas medidas incluyen:
• Restricción de acceso a los datos almacenados para distintos fines según las obligaciones del personal
• Segregación de sistemas de IT
• Segregación de entornos de pruebas y producción de IT
APÉNDICE C Subcontratación de terceros por parte del ENCARGADO DE TRATAMIENTO para la prestación del Servicio
El RESPONSABLE DEL TRATAMIENTO autoriza al ENCARGADO DEL TRATAMIENTO a subcontratar a las siguientes empresas, las cuales tendrán acceso a sus datos personales:
• Bizagi Latam, S.A.S.
• Microsoft Azure
• Citrix
APÉNDICE D Cláusulas Contractuales Tipo (Encargados del Tratamiento)
A efectos del artículo 26, apartado 2, de la Directiva 95/46/CE para la transferencia de datos personales a los encargados del tratamiento establecidos en terceros países que no garanticen una adecuada protección de los datos.
El Cliente, quien se ha obligado en relación con el Contrato de Encargo de Tratamiento de Datos de Carácter Personal (en lo sucesivo, el exportador de datos)
y
BIZAGI LATAM S.A.S, sociedad mercantil con domicilio social en Xxxxxxx 0 Xx 00 - 00, Xxxxx X,
Xxxxxxx 0000, Xxxxxx, Xxxxxxxx; x00 (0) 000 0000; xxxxxxx@xxxxxx.xxx (en lo sucesivo, el importador de datos)
cada una de ellas "la parte"; conjuntamente "las partes"
ACUERDAN las siguientes cláusulas contractuales (en lo sucesivo, las "cláusulas") con objeto de ofrecer garantías suficientes respecto de la protección de la vida privada y los derechos y libertades fundamentales de las personas para la transferencia por el exportador de datos al importador de datos de los datos personales especificados en el Anexo 1.
Cláusula 1 Definiciones
A los efectos de las presentes cláusulas:
a) "datos personales", "categorías especiales de datos", "tratamiento", "responsable del tratamiento", "encargado del tratamiento", "interesado" y "autoridad de control" tendrán el mismo significado que en la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos;
b) por "exportador de datos" se entenderá el responsable del tratamiento que transfiera los datos personales;
c) por "importador de datos" se entenderá el encargado del tratamiento que convenga en recibir del exportador datos personales para su posterior tratamiento en nombre de este, de conformidad con sus instrucciones y de los términos de las cláusulas, y que no esté sujeto al sistema de un tercer país por el que se garantice la protección adecuada en el sentido del artículo 25, apartado 1, de la Directiva 95/46/CE;
d) por "subencargado del tratamiento" se entenderá cualquier encargado del tratamiento contratado por el importador de datos o por cualquier otro subencargado de este que convenga en recibir del importador de datos, o de cualquier otro subencargado de este, datos personales exclusivamente para las posteriores actividades de tratamiento que se hayan de llevar a cabo en nombre del exportador de datos, de conformidad con sus instrucciones, los términos de las cláusulas y los términos del contrato que se haya concluido por escrito;
e) por "legislación de protección de datos aplicable" se entenderá la legislación que protege los derechos y libertades fundamentales de las personas y, en particular, su derecho a la vida privada respecto del tratamiento de los datos personales, aplicable al responsable del tratamiento en el Estado miembro en que está establecido el exportador de datos;
f) por "medidas de seguridad técnicas y organizativas" se entenderán las destinadas a proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o cualquier otra forma ilícita de tratamiento.
Cláusula 2 Detalles de la transferencia
Los detalles de la transferencia, en particular, las categorías especiales de los datos personales quedan especificados si procede en el apéndice 1, que forma parte integrante de las presentes cláusulas.
Cláusula 3 Cláusula xx xxxxxxx beneficiario
1. Los interesados podrán exigir al exportador de datos el cumplimiento de la presente cláusula, las letras b) a i) de la cláusula 4, las letras a) a e) y g) a j) de la cláusula 5, los apartados 1 y 2 de la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, como terceros beneficiarios.
2. Los interesados podrán exigir al importador de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, cuando el exportador de datos haya desaparecido de facto o haya cesado de existir jurídicamente, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley y a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad.
3. Los interesados podrán exigir al subencargado del tratamiento de datos el cumplimiento de la presente cláusula, las letras a) a e) y g) de la cláusula 5, la cláusula 6, la cláusula 7, el apartado 2 de la cláusula 8 y las cláusulas 9 a 12, en aquellos casos en que ambos, el exportador de datos y el importador de datos, hayan desaparecido de facto o hayan cesado de existir jurídicamente o sean insolventes, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, a resultas de lo cual asuma los derechos y las obligaciones del exportador de datos, en cuyo caso los interesados podrán exigirlos a dicha entidad. Dicha responsabilidad civil del subencargado del tratamiento de datos se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas.
4. Las partes no se oponen a que los interesados estén representados por una asociación u otras entidades, si así lo desean expresamente y lo permite el Derecho nacional.
Cláusula 4 Obligaciones del exportador de datos
El exportador de datos acuerda y garantiza lo siguiente:
a) el tratamiento de los datos personales, incluida la propia transferencia, ha sido efectuado y seguirá efectuándose de conformidad con las normas pertinentes de la legislación de protección de datos aplicable (y, si procede, se ha notificado a las autoridades correspondientes del Estado miembro de establecimiento del exportador de datos) y no infringe las disposiciones legales o reglamentarias en vigor en dicho Estado miembro;
b) ha dado al importador de datos, y dará durante la prestación de los servicios de tratamiento de los datos personales, instrucciones para que el tratamiento de los datos personales transferidos se lleve a cabo exclusivamente en nombre del exportador de datos y de conformidad con la legislación de protección de datos aplicable y con las cláusulas;
c) el importador de datos ofrecerá garantías suficientes en lo que respecta a las medidas de seguridad técnicas y organizativas especificadas en el Anexo 2 del presente contrato;
d) ha verificado que, de conformidad con la legislación de protección de datos aplicable, dichas medidas resultan apropiadas para proteger los datos personales contra su destrucción accidental o ilícita o su pérdida accidental, su alteración, divulgación o acceso no autorizados, especialmente cuando el tratamiento suponga la transmisión de los datos por redes, o contra cualquier otra forma ilícita de tratamiento y que dichas medidas garantizan un nivel de seguridad apropiado a los riegos que entraña el tratamiento y la naturaleza de los datos que han de protegerse, habida cuenta del estado de la técnica y del coste de su aplicación;
e) asegurará que dichas medidas se lleven a la práctica;
f) si la transferencia incluye categorías especiales de datos, se habrá informado a los interesados, o serán informados antes de que se efectúe aquella, o en cuanto sea posible, de que sus datos
podrían ser transferidos a un tercer país que no proporciona la protección adecuada en el sentido de la Directiva 95/46/CE;
g) enviará la notificación recibida del importador de datos o de cualquier subencargado del tratamiento de datos a la autoridad de control de la protección de datos, de conformidad con la letra b) de la cláusula 5 y el apartado 3 de la cláusula 8, en caso de que decida proseguir la transferencia o levantar la suspensión;
h) pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, a excepción del apéndice 2, y una descripción sumaria de las medidas de seguridad, así como una copia de cualquier contrato para los servicios de subtratamiento de los datos que debe efectuarse de conformidad con las cláusulas, a menos que las cláusulas o el contrato contengan información comercial, en cuyo caso podrá eliminar dicha información comercial;
i) que, en caso de subtratamiento, la actividad de tratamiento se llevará a cabo de conformidad con la cláusula 11 por un subencargado del tratamiento que proporcionará por lo menos el mismo nivel de protección de los datos personales y los derechos de los interesados que el importador de datos en virtud de las presentes cláusulas; y
j) que asegurará que las letras a) a i) de la cláusula 4 se lleven a la práctica.
Cláusula 5 Obligaciones del importador de datos
El importador de datos acuerda y garantiza lo siguiente:
a) tratará los datos personales transferidos solo en nombre del exportador de datos, de conformidad con sus instrucciones y las cláusulas. En caso de que no pueda cumplir estos requisitos por la razón que fuere, informará de ello sin demora al exportador de datos, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;
b) no tiene motivos para creer que la legislación que le es de aplicación le impida cumplir las instrucciones del exportador de datos y sus obligaciones a tenor del contrato y que, en caso de modificación de la legislación que pueda tener un impotente efecto negativo sobre las garantías y obligaciones estipuladas en las cláusulas, notificará al exportador de datos dicho cambio en cuanto tenga conocimiento de él, en cuyo caso este estará facultado para suspender la transferencia de los datos o rescindir el contrato;
c) ha puesto en práctica las medidas de seguridad técnicas y organizativas que se indican en el apéndice 2 antes de efectuar el tratamiento de los datos personales transferidos;
d) notificará sin demora al exportador de datos sobre:
i. toda solicitud jurídicamente vinculante de divulgar los datos personales presentada por una autoridad encargada de la aplicación xx xxx a menos que esté prohibido, por ejemplo, por el Derecho penal para preservar la confidencialidad de una investigación levada a cabo por una de dichas autoridades,
ii. todo acceso accidental o no autorizado,
iii. toda solicitud sin respuesta recibida directamente de los interesados, a menos que se le autorice;
e) tratará adecuadamente en los períodos de tiempo prescritos todas las consultas del exportador de datos relacionadas con el tratamiento que este realice de los datos personales sujetos a transferencia y se atendrá a la opinión de la autoridad de control en lo que respecta al tratamiento de los datos transferidos;
f) ofrecerá a petición del exportador de datos sus instalaciones de tratamiento de datos para que se lleve a cabo la auditoría de las actividades de tratamiento cubiertas por las cláusulas. Esta será realizada por el exportador de datos o por un organismo de inspección, compuesto por miembros independientes con las cualificaciones profesionales necesarias y sujetos a la confidencialidad, seleccionado por el exportador de datos y, cuando corresponda, de conformidad con la autoridad de control;
g) pondrá a disposición de los interesados, previa petición de estos, una copia de las cláusulas, o de cualquier contrato existente para el subtratamiento de los datos, a menos que las cláusulas o el contrato contengan información comercial, en cuyo podrá eliminar dicha información comercial, a excepción del apéndice 2 que será sustituido por una descripción sumaria de las
medidas de seguridad, en aquellos casos en que el interesado no pueda obtenerlas directamente del exportador de datos;
h) que, en caso de subtratamiento de los datos, habrá informado previamente al exportador de datos y obtenido previamente su consentimiento por escrito;
i) que los servicios de tratamiento por el subencargado del tratamiento se llevarán a cabo de conformidad con la cláusula 11;
j) enviará sin demora al exportador de datos una copia de cualquier acuerdo con el subencargado del tratamiento que concluya con arreglo a las cláusulas.
Cláusula 6 Responsabilidad
1. Las partes acuerdan que los interesados que hayan sufrido daños como resultado del incumplimiento de las obligaciones mencionadas en la cláusula 3 o en la cláusula 11 por cualquier parte o subencargado del tratamiento tendrán derecho a percibir una indemnización del exportador de datos para el daño sufrido.
2. En caso de que el interesado no pueda interponer contra el exportador de datos la demanda de indemnización a que se refiere el apartado 1 por incumplimiento por parte del importador de datos o su subencargado de sus obligaciones impuestas en la cláusulas 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolvente, el importador de datos acepta que el interesado pueda demandarle a él en el lugar del exportador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad.
El importador de datos no podrá basarse en un incumplimiento de un subencargado del tratamiento de sus obligaciones para eludir sus propias responsabilidades.
3. En caso de que el interesado no pueda interponer contra el exportador de datos o el importador de datos la demanda a que se refieren los apartados 1 y 2, por incumplimiento por parte del subencargado del tratamiento de datos de sus obligaciones impuestas en la cláusula 3 o en la cláusula 11, por haber desaparecido de facto, cesado de existir jurídicamente o ser insolventes ambos, tanto el exportador de datos como el importador de datos, el subencargado del tratamiento de datos acepta que el interesado pueda demandarle a él en cuanto a sus propias operaciones de tratamiento de datos en virtud de las cláusulas en el lugar del exportador de datos o del importador de datos, a menos que cualquier entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley, en cuyo caso los interesados podrán exigir sus derechos a dicha entidad. La responsabilidad del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las presentes cláusulas.
Cláusula 7 Mediación y jurisdicción
1. El importador de datos acuerda que, si el interesado invoca en su contra derechos xx xxxxxxx beneficiario o reclama una indemnización por daños y perjuicios con arreglo a las cláusulas, aceptará la decisión del interesado de:
a) someter el conflicto a mediación por parte de una persona independiente o, si procede, por parte de la autoridad de control;
b) someter el conflicto a los tribunales del Estado miembro de establecimiento del exportador de datos.
2. Las partes acuerdan que las opciones del interesado no obstaculizarán sus derechos sustantivos o procedimentales a obtener reparación de conformidad con otras disposiciones de Derecho nacional o internacional.
Cláusula 8 Cooperación con las autoridades de control
1. El exportador de datos acuerda depositar una copia del presente contrato ante la autoridad de control si así lo requiere o si el depósito es exigido por la legislación de protección de datos aplicable.
2. Las partes acuerdan que la autoridad de control está facultada para auditar al importador, o a cualquier subencargado, en la misma medida y condiciones en que lo haría respecto del exportador de datos conforme a la legislación de protección de datos aplicable.
3. El importador de datos informará sin demora al exportador de datos en el caso de que la legislación existente aplicable a él o a cualquier subencargado no permita auditar al importador ni a los subencargados, con arreglo al apartado 2. En tal caso, el importador de datos estará autorizado a adoptar las medidas previstas en la letra b) de la cláusula 5.
Cláusula 9 Legislación aplicable
Las cláusulas se regirán por la legislación del Estado miembro de establecimiento del exportador de datos.
Cláusula 10 Variación del contrato
Las partes se comprometen a no variar o modificar las presentes cláusulas. Esto no excluye que las partes añadan cláusulas relacionadas con sus negocios en caso necesario siempre que no contradigan las cláusulas.
Cláusula 11 Subtratamiento de datos
1. El importador de datos no subcontratará ninguna de sus operaciones de procesamiento llevadas a cabo en nombre del exportador de datos con arreglo a las cláusulas sin previo consentimiento por escrito del exportador de datos. Si el importador de datos subcontrata sus obligaciones con arreglo a las cláusulas, con el consentimiento del exportador de datos, lo hará exclusivamente mediante un acuerdo escrito con el subencargado del tratamiento de datos, en el que se le impongan a este las mismas obligaciones impuestas al importador de datos con arreglo a las cláusulas. En los casos en que el subencargado del tratamiento de datos no pueda cumplir sus obligaciones de protección de los datos con arreglo a dicho acuerdo escrito, el importador de datos seguirá siendo plenamente responsable frente al exportador de datos del cumplimiento de las obligaciones del subencargado del tratamiento de datos con arreglo a dicho acuerdo.
2. El contrato escrito previo entre el importador de datos y el subencargado del tratamiento contendrá asimismo una cláusula xx xxxxxxx beneficiario, tal como se establece en la cláusula 3, para los casos en que el interesado no pueda interponer la demanda de indemnización a que se refiere el apartado 1 de la cláusula 6 contra el exportador de datos o el importador de datos por haber estos desaparecido de facto, cesado de existir jurídicamente o ser insolventes, y ninguna entidad sucesora haya asumido la totalidad de las obligaciones jurídicas del exportador de datos o del importador de datos en virtud de contrato o por ministerio de la ley. Dicha responsabilidad civil del subencargado del tratamiento se limitará a sus propias operaciones de tratamiento de datos con arreglo a las cláusulas
3. Las disposiciones sobre aspectos de la protección de los datos en caso de subcontratación de operaciones de procesamiento a que se refiere el apartado 1 se regirán por la legislación del Estado miembro de establecimiento del exportador de datos.
4. El exportador de datos conservará la lista de los acuerdos de subtratamiento celebrados con arreglo a las cláusulas y notificados por el importador de datos de conformidad con la letra j) de la cláusula 5, lista que se actualizará al menos una vez al año. La lista estará a disposición de la autoridad de control de protección de datos del exportador de datos.
Cláusula 12 Obligaciones una vez finalizada la prestación de los servicios de tratamiento de los datos personales
1. Las partes acuerdan que, una vez finalizada la prestación de los servicios de tratamiento de los datos personales, el importador y el subencargado deberán, a discreción del exportador, o bien devolver todos los datos personales transferidos y sus copias, o bien destruirlos por completo y certificar esta circunstancia al exportador, a menos que la legislación aplicable al importador le impida devolver o destruir total o parcialmente los datos personales transferidos. En tal caso, el importador de datos garantiza que guardará el secreto de los datos personales transferidos y que no volverá a someterlos a tratamiento.
2. El importador de datos y el subencargado garantizan que, a petición del exportador o de la autoridad de control, pondrá a disposición sus instalaciones de tratamiento de los datos para que se lleve a cabo la auditoría de las medidas mencionadas en el apartado 1.
En nombre del importador de datos:
Nombre: Xxxxxx Xxxxxx Cargo: Director
Dirección: Xxxxxxx 0 Xx. 00-00, Xxxxx X, Xxxxxxx 0000, Xxxxxx, Xxxxxxxx Firma
Anexo 1 A las cláusulas contractuales tipo
El presente Xxxxx forma parte integrante de las cláusulas y deberá ser cumplimentado y suscrito por las partes.
Los Estados miembros podrán completar o especificar, de conformidad con sus procedimientos nacionales, cualquier información que deba incluirse en el presente apéndice.
Exportador de datos
El cliente es el exportador de datos.
Importador de datos
El importador de datos es BIZAGI LATAM S.A.S.., una Filial que puede llevar a cabo ciertos servicios relacionados con productos Bizagi, como la administración de servicios y el soporte técnico. En este sentido, BIZAGI LATAM S.A.S. puede procesar datos personales bajo las indicaciones del exportador de datos de acuerdo con los términos del Contrato de Encargo de Tratamiento de Datos Personales.
Interesados
Los datos personales transferidos se refieren a las categorías de interesados que figuran en el apartado "Categorías de interesados" del Apéndice A del Contrato de Encargo.
Categorías de datos
Los datos personales transferidos se refieren a las categorías de datos que figuran en el apartado "Categorías de datos personales" del Apéndice A del Contrato de Encargo.
Operaciones de tratamiento
Los datos personales transferidos están sometidos a una serie de actividades básicas de tratamiento establecidas en el apartado "Naturaleza y finalidad del tratamiento" del Apéndice A del Contrato de Encargo.
Anexo 2 A las cláusulas contractuales tipo
El presente Xxxxx forma parte integrante de las cláusulas y deberá ser cumplimentado y suscrito por las partes.
Descripción de las medidas de seguridad técnicas y organizativas puestas en práctica por el importador de datos de conformidad con la letra d) de la cláusula 4 y la letra c) de la cláusula 5 (o documento o legislación adjuntos):