Acuerdo de Tratamiento de Datos entre
Acuerdo de Tratamiento de Datos entre
Vaillant Grouop y
[Proveedor]
En Xxxxxxx, a [●] de [●] de 2021
Índice
Definiciones 3
Ámbito del Tratamiento 4
Tratamiento de Datos Personales 4
Propiedad de los Datos Personales 5
Instrucciones del Responsable 5
Obligaciones generales del Encargado 6
Medidas técnicas y organizativas 7
Delegado de protección de datos 8
Obligaciones relativas al personal 8
Subencargados del Tratamiento 8
Localización de los datos 9
Control y derechos de auditoría 10
Plazo y Terminación 11
Responsabilidad 11
Protección de datos personales de los representantes 12
Miscelanea 00
Xxxxx 0 – Ámbito de aplicación conforme al Contrato Principal 00
Xxxxx 0 – Medicas Técnicas y Organizativas 00
Xxxxx 0 – Delegados de protección de datos 00
Xxxxx 0 – Subencargados del Tratamiento de Datos seleccionados 21
En Xxxxxxx, a [●] de [●] de 2021
Acuerdo de Tratamiento de Datos
Entre Vaillant Group, en adelnate, el “Responsable”. Y
El Proveedor, en adelante, el “Encargado”
Preámbulo
(A) El Responsable y el Encargado han celebrado uno o más contratos de prestación de servicios (en adelante, cada uno de ellos, “Contrato Principal”).
(B) Este acuerdo (en adelante, el “Acuerdo”) garantizará la observancia de los requisitos de protección de datos de conformidad con la legislación sobre Protección de Datos.
En base a todo lo expuesto, las Partes acuerdan:
Definiciones
Las siguientes expresiones tendrán el significado que se indica a continuación:
Brecha de Seguridad significa toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de Datos Personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
Legislación sobre Protección de Datos significa la legislación sobre Protección de Datos aplicable al Responsable o al Encargado en cada momento, en particular el Reglamento General de Protección de Datos y toda la legislación sobre protección de datos de los Estados Miembros de la UE, incluyendo las que implemente el Reglamento General de Protección de Datos y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales.
Estado Miembro de la UE significa a efectos del presente Acuerdo un país miembro de la Unión Europeo del Espacio Económico Europeo.
Cláusulas Contractuales Tipo de la UE significa las cláusulas contractuales tipo para la transferencia de datos personales a encargados y responsables del tratamiento establecidos en terceros países (Decisión de la Comisión 2021/914, de 4 xx xxxxx de 2021).
Reglamento General de Protección de Datos o RGPD significa el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
Buenas Prácticas Industriales significa el ejercicio de un nivel profesional de competencia, atención, diligencia, prudencia y precaución razonable que se pueda esperar
razonablemente del Encargado para el tipo de servicios prestados de conformidad con el Contrato Principal teniendo en cuenta el estado de la técnica;
Datos Personales significa toda información relativa a una persona física identificada o identificable, tal como se define en la Legislación sobre Protección de Datos, y que sea proporcionado por el Responsable al Encargado, u obtenido directamente por el Encargado en representación del Responsable, en el marco de este Acuerdo, incluyendo los datos personales y las categorías de datos personales descritos más concretamente en el Anexo 1.
Tratamiento es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión odestrucción;.
Subencargado significa otro Encargado contratado por el Encargado para llevar a cabo actividades de tratramiento concretas en representación del Responsable.
Ámbito del Tratamiento
En relación con los Datos Personales objeto del presente Acuerdo las Partes acuerdan:
el objeto de las actividades de Tratamiento, la duración del Tratamiento,
la naturaleza del Tratamiento, la finalidad del Tratamiento,
los tipos de Datos Personales, incluyendo cualquier categoría especial de datos; y
las categorías de Interesados; que se establecen en el Anexo 1.
Tratamiento de Datos Personales
En la relación entre las Partes, el Responsable será quien determine los fines y la forma del Tratamiento de forma unilateral, mientras que el Encargado únicamente tratará los Datos Personales por cuenta y en interés del Responsable.
El Responsable podrá exigir al Encargado que trate Datos Personales de cualquiera de sus empresas filiales en virtud del presente Acuerdo, siempre que esté efectivamente autorizado para dar instrucciones en representación de sus empresas filiales.
El Encargado únicamente tratará los Datos Personales para los fines establecidos por el Responsable. En particular, el Encargado no utilizará Datos Personales para ninguno de sus propios fines, ni para fines de terceros, incluyendo fines comerciales, analíticos o estadísticos. Esta prohibición se extenderá también a los datos seudonimizados o anonimizados y a la información, secretos comerciales y know-how derivados de los
Datos Personales. Esta información se considerará información confidencial del Responsable, a los efectos previstos en el Contrato Principal.
El Encargado únicamente tratará los Datos Personales según los métodos, medios e instalaciones acordados y, en todo caso, de conformidad con los términos y condiciones previstos en el Contrato Principal.
Propiedad de los Datos Personales
La propiedad de los datos personales objeto de este encargo es de los interesados.
El Responsable ostentará la responsabilidad de todos los Datos Personales tratados y/o recogidos por el Encargado en nombre del Responsable.
El Encargado no adquirirá ningún derecho o interés sobre los Datos Personales tratados por el Responsable, los datos seudonimizados o anonimizados o la información, secretos comerciales y know-how derivados de los Datos Personales.
Instrucciones del Responsable
El Encargado únicamente tratará y utilizará los Datos Personales de conformidad con las instrucciones documentadas del Responsable y la legislación aplicable sobre Protección de Datos. El Encargado se compromete a no realizar ningún otro tratamiento sobre los datos personales, ni a aplicar o utilizar los datos con una finalidad distinta a la prestación de los Servicios, ni a utilizarlos con fines propios.
El Responsable podrá, en cualquier momento, dar instrucciones al Encargado en lo que respecta al Tratamiento. El Responsable puede cambiar, modificar o sustituir las instrucciones en cualquier momento, ya sea de manera general o individualmente. El Encargado cumplirá dichas instrucciones sin dilación indebida.
En general, las instrucciones se darán por escrito o en formato electrónico (p. ej. por correo electrónico). En caso de riesgo inminente o urgencia, el Responsable puede dar instrucciones verbalmente (p. ej. por teléfono), siempre que posteriormente confirme dichas instrucciones por escrito, o en formato electrónico, tan pronto como sea posible.
Todas las instrucciones relativas al Tratamiento las dará únicamente el personal designado por el Responsable al personal designado por el Encargado. El Responsable y el Encargado se informarán entre sí sobre el personal autorizado para estos fines.
Si el Encargado considera que el cumplimiento de las instrucciones del Responsable comportaría un incumplimiento de la legislación sobre Protección de Datos, deberá informar inmediatamente al Responsable y requerirle para que adopte la decisión que corresponda. El Encargado puede suspender la implementación de cualesquiera instrucciones hasta que el Responsable haya confirmado o modificado las instrucciones de que se trate. El Encargado no tendrá un derecho de decisión ni ningún otro derecho a rechazar el cumplimiento de las instrucciones del Responsable respecto del Tratamiento. Esto se aplica, en particular, a las instrucciones y solicitudes del Responsable relativas a la corrección, alternancia, seudonimización, anonimización, divulgación, habilitación de acceso, restricción, supresión, destrucción o devolución de Datos Personales.
Obligaciones generales del Encargado
El Encargado mantendrá todos los Datos Personales de manera estrictamente confidencial y no divulgará ni permitirá el acceso a los mismos por parte de terceros no autorizados, salvo que esté obligado a ello en virtud de la legislación aplicable.
El Encargado mantedrá un registro, por escrito, de todas las actividades de tratamiento efectuadas por cuenta del Responsable, que contenga los aspectos referidos en el artículo
30.2 del RGPD y, en particular:
El nombre y los datos de contacto del Encargado y del Responsable y, en su caso, de su representante y del Delegado de Protección de Datos.
Las categorías de tratamientos efectuados por cuenta del Responsable.
En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y la documentación de garantías adecuadas.
Una descripción general de las medidas técnicas y organizativas de seguridad.
El Encargado notificará al Responsable, sin dilación indebida, la interrupción significativa de los servicios, la infracción supuesta o real del presente Acuerdo y cualquier otra irregularidad material relacionada con el Tratamiento derivadas de la actuación del Encargado, de su personal o de terceros. El Encargado investigará y subsanará todo incumplimiento sin dilación indebida. A petición del Responsable, el Encargado informará adecuadamente al Responsable respecto de cualquier incumplimiento supuesto o real.
El Encargado notificará al Responsable, en un plazo de 24 horas, las Brechas de Seguridad de los datos de las que tenga conocimiento. La notificación describirá la naturaleza de la Brecha de Seguridad, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
Igualmente, el Encargado describirá al Responsable, sin dilación indebida, las medidas adoptadas, o propuestas de medidas, para subsanar la Brecha de Seguridad, incluyendo, si procede, las medidas para mitigar sus posibles efectos negativos.
En cualquier caso, el Encargado tomará las medidas razonables para proteger los Datos Personales contra nuevas Brechas de Seguridad de naturaleza similar, así como para limitar sus efectos negativos. Asimismo, el Encargado proporcionará una ayuda razonable al Responsable para que este pueda cumplir con su obligación de informar a los interesados y a las autoridades de control de la Brecha de Seguridad, de conformidad con la legislación sobre Protección de Datos.
El Encargado informará al Responsable, sin dilación indebida, sobre si los Datos Personales del Responsable que se encuentran en su poder son, o es probable que sean, objeto de cualquier clase de medidas de embargo, de ejecución, concursales o derivadas de acciones de terceros. El Encargado informará a cualquier tercero que reclame el acceso a los Datos Personales del Responsable, o que pretenda tomar posesión de los mismos, respecto a la propiedad exclusiva de los mismos por parte del Responsable.
El Encargado informará al Responsable, sin dilación indebida, de requerimientos, auditorías u otras indagaciones de una autoridad de control, o de cualquier otra autoridad,
en relación con los Datos Personales del Responsable, o su tratamiento por parte del Encargado. El Encargado pondrá a disposición del Responsable los informes, declaraciones o decisiones pertinentes de dicha autoridad, así como la correspondencia con dicha autoridad en la medida en que afecte a los Datos Personales del Responsable, o al tratamiento de los mismos.
En el caso de que el Responsable venga obligado a proporcionar a un interesado información relacionada con el tratamiento de sus datos por parte del Encargado, este colaborará razonablemente con el Responsable y proporcionará toda la información relativa al tratamiento por él realizado, sin dilación indebida, y en todo caso, en un plazo máximo de 3 días hábiles. En caso de que los interesados dirijan una solicitud o consulta directamente al Encargado, este la remitirá al Responsable sin dilación indebida. El Encargado no responderá a dichas solicitudes o consultas de los interesados por su propia cuenta, ni tampoco en nombre del Responsable, sin el consentimiento previo de este, salvo que el Encargado venga obligado a actuar de otra forma como consecuencia de la legislación aplicable.
El Encargado dará apoyo al Responsable:
Para cumplir con las obligaciones de notificación a las autoridades de control nacionales o extranjeras y para cumplir con otras obligaciones derivadas de la legislación sobre Protección de Datos. Esto incluirá, en particular, facilitar toda la información necesaria respecto al Encargado y a sus Subencargados, incluyendo sus compromisos, instalaciones, medidas técnica y organizativas y otras circunstancias relacionadas con el Tratamiento;
en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda; y
en la realización de las consultas previas a la autoridad de control, cuando proceda.
El Encargado apoyará al Responsable de forma suficiente y apropiada en la defensa frente a cualquier reclamación contra el Responsable derivada de cualquier incumplimiento real o supuesto por parte del Encargado, o de cualquiera de sus Subencargados.
Medidas técnicas y organizativas
Durante la vigencia de este Acurdo, el Encargado implementará y mantendrá medidas técnicas y organizativas adecuadas de manera que el Tratamiento cumpla en todo momento con los requisitos de la legislación sobre Protección de Datos y, como mínimo, con las Buenas Prácticas Industriales.
Más concretamente, el Encargado aplicará, como mínimo, las medidas técnicas y organizativas detalladas en el Anexo 2 del presente Acuerdo. Las Partes acuerdan mutuamente actualizar el Anexo 2 periódicamente teniendo en cuenta las mejoras de los estándares tecnológicos.
El Encargado informará al Responsable cuando considere que los cambios en las medidas técnicas y organizativas pueden tener un impacto negativo en la seguridad del Tratamiento o de los Datos Personales.
Delegado de protección de datos
En el Anexo 3 se indican los datos de contacto de los delegados de protección de datos de ambas Partes a la fecha del presente Acuerdo, si aplican. Cada Parte informará a la otra Parte, por escrito o electrónicamente (p. ej. por correo electrónico), de cualquier cambio de su delegado de protección de datos. Si la legislación aplicable no exige que el Encargado nombre un delegado de protección de datos, el Encargado proporcionará los datos de contacto de un miembro de su personal que sea directamente Responsable de los Datos Personales.
Obligaciones relativas al personal
El Encargado garantizará que su personal autorizado a tratar los Datos Personales cumpla los términos y condiciones de este Acuerdo.
El Encargado únicamente podrá dar acceso y derechos de acceso a su personal en relación con los Datos Personales cuando sea necesario para que el empleado cumpla con sus obligaciones, y en todo caso se hará de conformidad con las medidas técnicas y organizativas del Encargado.
El Encargado garantizará y documentará adecuadamente que todo su personal implicado en el Tratamiento:
esté obligado a respetar la obligación de confidencialidad en virtud de su contrato de trabajo, o esté sujeto a una obligación de confidencialidad de naturaleza estatutaria; y
haya sido debidamente instruido y formado en relación con el cumplimiento de sus obligaciones según la legislación de Protección de Datos y las obligaciones contractuales del Encargado relativas al tratamiento de Datos Personales.
El Encargado controlará adecuadamente el cumplimiento por parte de su personal de las obligaciones de protección de datos y confidencialidad.
El Responsable puede inspeccionar, en cualquier momento, la documentación del Encargado relativa a la protección de datos y a las obligaciones de confidencialidad de su personal o, en su caso, solicitar al Encargado su conformidad por escrito respecto al cumplimiento de sus obligaciones relativas al personal con arreglo a esta sección.
Subencargados del Tratamiento
El Encargado únicamente puede recurrir a Subencargados con la previa autorización por escrito del Responsable, y de conformidad con el Contrato Principal. En el Anexo 4 se detallan los Subencargados pre-autorizados y los servicios y funciones para los que se aprueba su intervención en el Tratamiento.
Los Subencargados autorizados cumplirán todos los requisitos del presente Acuerdo y, adicionalmente, las obligaciones que correspondan conforme a las Cláusulas Contractuales Tipo que hubieran suscrito. En concreto, el Responsable tendrá frente al Subencargado los mismos derechos de instrucción, control y auditoría que frente al
Encargado. El Encargado garantiza que el Responsable puede ejercer tales derechos frente el Subencargado en cualquier momento.
El Encargado supervisará y controlará regularmente el cumplimiento del presente Acuerdo por parte de sus Subencargados. El Encargado únicamente puede transferir Datos Personales al Subencargado después de estar suficientemente convencido de que este ofrece las garantías adecuadas respecto al cumplimiento de los términos y condiciones del presente Acuerdo.
El Responsable tendrá derecho a recibir del Encargado información sobre el contenido material del contrato de tratamiento de datos suscrito entre el Encargado y su Subencargado. Ello incluye una copia de las disposiciones relativas a la protección de datos acordadas entre el Encargado y su Subencargado (excluidas las condiciones comerciales o la información de precios).
Los términos y condiciones del Contrato Principal relativos al empleo de subcontratistas no se verán afectados por este Acuerdo y se aplicarán de forma adicional a las disposiciones que anteceden.
El Encargado mantendrá registros actualizados con el nombre y datos de contacto de los Subencargados autorizados, sus representantes y delegados de protección de datos. Previa solicitud del Responsable, el Proveedor pondrá a su disposición dicha información.
En el caso de incumplimiento por parte del Subencargado, el Encargado será plenamente responsable ante el Responsable en lo referente al cumplimiento de las obligaciones.
El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el Encargado y las instrucciones que dicte el Responsable. Corresponde al Encargado inicial regular la nueva relación de conformidad con el artículo 28.4 del RGPD, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el supuesto de que la subcontratación del Servicio por parte del Encargado implique una transferencia internacional de datos a empresas subcontratistas establecidas fuera del Espacio Económico Europeo y que no sean países considerados por la Comisión Europea como poseedores de un nivel de protección de datos adecuado.
En el caso de incumplimiento por parte del subencargado, el Encargado inicial seguirá siendo plenamente responsable ante el Responsable en lo referente al cumplimiento de las obligaciones.
Localización de los datos
El Encargado garantizará al Responsable la capacidad de elegir el lugar donde serán almacenados los datos personales que se traten con motivo de la prestación del servicio, y en concreto, garantizará la elección de Centros de Procesamientos de Datos ubicados dentro del Espacio Económico Europeo (en adelante EEE).
Como alternativa, el Encargado podrá ofrecer al Responsable, quien a su solo criterio podrá aceptarlo o rechazarlo, la posibilidad de ubicar los datos en Centros de Procesamiento de Datos ubicados fuera del Espacio Económico Europeo (“EEE”), ello
sobre la base de la firma de cláusulas tipo de protección de datos adoptadas por la Comisión Europea en materia de transferencias internacionales, o bien de la adopción de otras garantías adecuadas previstas en la normativa aplicable.
El Encargado asumirá la obligación de informar en todo momento al Responsable de las transferencias de datos personales que puedan tener como destino países situados fuera del EEE con motivo de la prestación del servicio contratado.
En el supuesto de que la subcontratación del Servicio por parte del Encargado, previamente autorizada por el Responsable, implique una transferencia internacional de datos a empresas subcontratistas establecidas fuera del EEE y que no sean países considerados por la Comisión Europea como poseedores de un nivel de protección adecuado, el Responsable podrá solicitar la regularización de dicha transferencia mediante:
La suscripción, con dichas empresas, de Cláusulas Contractuales Tipo adoptadas por la Decisión de ejecución 2021/914 de la Comisión Europea, de 4 xx xxxxx, así como, en su caso, la adopción de medidas complementarias, atendiendo la seguridad del país de destino.
Exigir la adopción de otras garantías adecuadas previstas en la normativa vigente para que considere convenientes en cada caso.
Si la empresa subcontratista propuesta por el Encargado no se mostrase conforme con la adopción de las garantías competentes, dicho subcontratista será descartado. En caso de conflicto entre el presente Encargo y las Cláusulas Contractuales Tipo de la Comisión Europea, prevalecerán estas últimas.
Control y derechos de auditoría
El Responsable puede realizar, o pedir a un auditor externo cualificado sujeto a obligaciones contractuales de confidencialidad, o xx xxxxxxx profesional, auditorías periódicas del Encargado respecto al cumplimiento de la legislación de Protección de Datos y del presente Acuerdo, incluyendo las medidas técnicas y organizativas acordadas para el Tratamiento. En su caso, el auditor externo no podrá ser una empresa competidora del Encargado o de los Subencargados del Tratamiento. La auditoría podrá incluir una inspección física de los correspondientes establecimientos del Encargado, siempre que i) medie un preaviso mínimo de cinco (5) días laborables; ii) se desarrolle durante el horario laboral habitual; y iii) no se alteren significativamente los servicios y actividad del Encargado.
El Encargado respaldará estas auditorías y colaborará con el Responsable en el ejercicio de dicho derecho. En particular, el Encargado deberá facilitar toda la información necesaria sobre su empresa, sus Subencargados, sus instalaciones y sus medidas técnicas y organizativas y otras circunstancias del Tratamiento de los Datos Personales del Responsable.
El Responsable y el Encargado pueden acordar por escrito la sustitución, total o parcial, de cualquier auditoría e inspección con certificados actualizados, informes o extractos de organismos independientes (p. ej. auditores independientes externos, auditoría interna, el delegado de protección de datos, el departamento de seguridad informática o auditorías
de calidad) o por un certificado pertinente basado en auditorías de seguridad informática o de protección de datos.
Si la auditoría revela que el Encargado no cumple con la legislación de Protección de Datos o con sus obligaciones según el presente Acuerdo, el Responsable podrá, a su sola discreción y en función de la gravedad de los mismos:
requerir al Encargado que adopte, a su xxxxx, todas las medidas correctoras necesarias para lograr dicho cumplimiento, incluyendo las medidas provisionales que se estimen convenientes debiendo el Encargado aportar al Responsable aquellas evidencias que acrediten su resolución.
terminar anticipadamente la prestación o prestaciones de servicios reflejadas en el Anexo 1, cuyos tratamientos de datos personales se vean afectados por el incumplimiento detectado. En este caso, el Encargado deberá devolver al Responsable la parte proporcional de los importes percibidos correspondientes a los servicios que no hubieran sido efectivamente ejecutados.
Plazo y Terminación
Este Acuerdo se celebra por el plazo del Contrato Principal y continuará aplicándose hasta la finalización de todos los servicios, de conformidad con el Contrato Principal, incluyendo, en su caso, los servicios a realizar por el Encargado en caso de terminación del Contrato Principal.
Salvo que expresamente se acuerde lo contrario en el Contrato Principal, a la expiración o terminación del presente Acuerdo el Encargado deberá, a elección del Responsable, devolver los Datos Personales a la persona designada por el Responsable o suprimir de manera segura los Datos Personales. Previa solicitud del Responsable, el Encargado confirmará la supresión segura de todos los Datos Personales mediante escrito firmado por un representante debidamente autorizado dentro de los treinta días a contar desde la recepción de dicha solicitud.
No se verán afectadas las obligaciones legales de conservación de documentos que afecten al Encargado. No obstante, si el Encargado reivindica cualesquiera obligaciones legales sobre la conservación de Datos Personales a pesar de las disposiciones anteriores, notificará al Responsable, previa solicitud, la base jurídica y los Datos Personales afectados, sin dilación indebida. En su caso, este Acuerdo continuará siendo aplicable mientras dure cualquiera de tales retenciones.
Responsabilidad
De conformidad con lo establecido en el artículo 28.10 del RGPD y normativa de protección de datos, si el Encargado infringe lo establecido en el RGPD al determinar los fines y medios del tratamiento será considerado responsable del tratamiento con respecto a dicho tratamiento.
En el supuesto de incumplimiento por parte del Encargado, incluidos sus empleados, de las obligaciones establecidas en la presente cláusula o de las derivadas de la legislación aplicable en materia de protección de datos, el Encargado asumirá la total responsabilidad que pudiera irrogarse al Responsable como consecuencia de cualquier tipo de sanciones
administrativas impuestas por las autoridades correspondientes, así como de los daños y perjuicios por procedimientos judiciales o extrajudiciales contra el Responsable, incluidos los gastos derivados de la defensa legal.
Protección de datos personales de los representantes.
Los datos personales de los representantes de las partes serán tratados, respectivamente, por las entidades que se identifican en el encabezamiento, que actuarán, de forma independiente, como responsables del tratamiento de los mismos. Dichos datos serán tratados para dar cumplimiento a los derechos y obligaciones contenidas en este Acuerdo, sin que se tomen decisiones automatizadas que puedan afectar a los citados representantes. En consecuencia, la base jurídica del tratamiento es el interés legítimo de las Partes en dar cumplimiento a la mencionada relación contractual, siendo dicho fin estrictamente necesario para ejecutar el presente Acuerdo.
Los datos se mantendrán mientras esté en vigor la relación contractual que aquí se estipula, siendo tratados únicamente por las partes y aquellos terceros a los que aquéllas estén legal o contractualmente obligados a comunicarlos (como es el caso de terceros prestadores de servicios a los que se haya encomendado algún servicio vinculado con la gestión o ejecución del Contrato Principal).
Los representantes de las partes podrán ejercer, en los términos establecidos por la legislación vigente, los derechos de acceso, rectificación y supresión de datos, así como solicitar que se limite el tratamiento de sus datos personales, oponerse al mismo, o solicitar la portabilidad de sus datos dirigiendo una comunicación por escrito a cada una de las Partes, a través de las direcciones especificadas en el encabezamiento. En el supuesto de que no queden satisfechos con la atención recibida de las partes tras ejercitar alguno de los derechos citados con anterioridad, podrán presentar una reclamación ante la Agencia Española de Protección de Datos u otra autoridad competente.
Miscelanea
Salvo que se indique lo contrario en el Contrato Principal, cada Parte soportará sus propios gastos en relación con el cumplimiento del presente Acuerdo. Todos los gastos a cargo del Responsable se establecen, exclusivamente, en el Contrato Principal.
1.2 No se aceptará que el Encargado suspenda o cancele el cumplimiento de cualquiera de las obligaciones asumidas en virtud de este Acuerdo.
1.3 Ninguna de las Partes cederá, transmitirá o hará uso de otra manera de sus derechos u obligaciones según el presente Acuerdo sin el previo consentimiento por escrito de la otra Parte.
1.4 Este Acuerdo y sus Anexos establecen el acuerdo completo entre las Partes respecto del Tratamiento. Este Acuerdo anula todo contrato anterior de las Partes relativo al mismo objeto.
1.5 Ninguna enmienda, modificación o renuncia del presente Acuerdo, incluidos sus Anexos y apéndices, será válida si no es por escrito y debidamente otorgada por o en representación de todas las partes del mismo.
1.6 Si alguna disposición individual del presente Acuerdo es o se convierte en nula, la validez de las disposiciones restantes no se verá afectada. Las disposiciones normativas se aplicarán en lugar de las disposiciones nulas.
1.7 Este Acuerdo se rige e interpreta de conformidad con la legislación de España.
1.8 A no ser que se convenga de otra manera en el Contrato Principal, el fuero para todos los litigios que surjan del presente Acuerdo o relacionados con el mismo será la sede xx Xxxxxx (Bizkaia).
Y, EN PRUEBA DE CONFORMIDAD, las Partes formalizan el Acuerdo en DOS (2) ejemplares y a un solo efecto, en el lugar y fecha indicados en el encabezamiento.
En representación del Responsable En representación del Encargado
Anexo 1 – Ámbito de aplicación conforme al Contrato Principal
Objeto de los servicios y Tratamiento de Datos Personales | [●] |
Duración del Tratamiento | ☒ Mientras dure el Contrato Principal ☐ Otros (detallar): |
Naturaleza del Tratamiento | ☐ Recogida ☐ Registro ☐ Estructuración |
☐ Modificación | |
☐ Conservación | |
☐ Extracción | |
☐ Consulta | |
☐ Comunicación por transmisión | |
☐ Difusión | |
☐ Interconexión | |
☐ Cotejo | |
☐ Limitación | |
☐ Supresión | |
☐ Destrucción | |
☐ Comunicación | |
Fines del Tratamiento | [●] |
Tipos o categorías de interesados | ☐ Empleados del Responsable ☐ Autónomos / Empleados del cliente ☐ Autónomos / Empleados del proveedor ☐ Consumidores ☐ Otros (detallar): |
Tipos o categorías de datos | ☐ Datos de carácter identificativo ☐ Datos de contacto ☐ Características personales ☐ Datos académicos ☐ Datos profesionales y detalles de empleo ☐ Información comercial ☐ Circunstancias sociales |
☐ Detalles del empleo ☐ Económicos, financieros o de seguros ☐ Transacciones de bienes o servicios ☐ Otros: .......................................... | |
Categorías especiales de Datos Personales | ☐ Datos que revelen origen racial o étnico (detallar): ☐ Datos que revelen opiniones políticas (detallar): ☐ Datos que revelen creencias religiosas o filosóficas (detallar): ☐ Datos que revelen la pertenencia a sindicatos (detallar): ☐ Datos genéticos o biométricos (detallar): ☐ Datos relativos a la salud (detallar): ☐ Datos relativos a la vida sexual o a la orientación sexual de personas físicas (detallar): ☐ Datos relativos a condenas penales y delitos (detallar): |
* * *
Anexo 2 – Medicas Técnicas y Organizativas
A. Principios generales
Basándose en una evaluación de riesgos, el Responsable y el Encargado acuerdan las medidas técnicas y organizativas destinadas a lograr los fines siguientes:
1. impedir el acceso de personas no autorizadas a las instalaciones donde se lleve a cabo el tratamiento (control de acceso),
2. impedir la lectura, copia, modificación o supresión de soportes de datos no autorizadas (control de soportes de datos),
3. impedir el registro, el visionado, la modificación y la supresión no autorizadas de datos de carácter personal (control de almacenamiento de datos),
4. impedir que personas no autorizadas utilicen sistemas de tratamiento automatizado a través de terminales de transmisión de datos (control de usuario),
5. garantizar que las personas autorizadas a emplear un sistema de tratamiento automatizado tengan acceso únicamente a los datos personales que se incluyan en su autorización de acceso (control de acceso),
6. garantizar que se pueda comprobar y determinar a qué lugares se han transmitido o se han facilitado datos personales mediante los terminales de transmisión de datos (control de transmisión),
7. garantizar que se pueda comprobar y determinar, a posteriori, qué datos personales se han introducido o modificado en un sistema de tratamiento automatizado, en qué momento se han introducido o modificado y quién lo ha llevado a cabo (control de registro),
8. garantizar que la confidencialidad y la integridad de los datos estén protegidos en la transmisión de datos personales y en el transporte de soportes de datos (control de transporte),
9. garantizar que los sistemas empleados puedan restaurarse en caso de fallo (posibilidad de recuperación),
10. garantizar que todas las funciones del sistema estén disponibles y que se informe de todos los fallos de funcionamiento (fiabilidad),
11. garantizar que los datos personales conservados no puedan ser dañados por fallos del sistema (integridad de datos),
12. garantía de que los datos personales tratados por cuenta de un responsable únicamente puedan tratarse de conformidad con las instrucciones del responsable (control de órdenes),
13. garantizar que los datos personales estén protegidos contra destrucción o pérdida (control de disponibilidad),
14. garantizar que los datos personales recogidos para diferentes fines puedan tratarse por separado (divisibilidad).
B. Medicas técnicas y organizativas
El Responsable y el Encargado acuerdan las medidas técnicas y organizativas siguientes que serán implementadas por el Encargado:
Control de Acceso
☐ Sistema de alarma
☐ Protección mediante tornos de entrada a edificios
☐ Sistema de control de entrada automático
☐ Tarjeta inteligente o sistema transmisor- receptor
☐ Sistema de bloqueo con requisitos de código
☐ Sistema de bloqueo manual
☐ Control de acceso biométrico
☐ Videovigilancia de la zona de entrada
☐ Otros/comentarios (detallar):
☐ Barrera óptica, detector de movimiento
☐ Cierres de seguridad
☐ Registro de visitantes
☐ Selección rigurosa de personal de limpieza
☐ Selección rigurosa de personal de seguridad
☐ Solicitud de acreditaciones
☐ Registro de visitantes
Control de usuarios, Control de almacenamiento
☐ Autenticación del usuario
☐ Uso de perfiles de usuario
☐ Asignación de contraseñas
☐ Autenticación con sistemas biométricos
☐ Autenticación con nombre de usuario y contraseña
☐ Asignación de perfiles de usuario para Sistemas informáticos
☐ Dispositivos de bloqueo para cajas
☐ Uso de tecnología RPV
☐ Bloqueo de interfaces externas
☐ Otros/comentarios (detallar):
☐ Cierres de seguridad
☐ Uso de Sistemas de detección de intrusiones
☐ Uso de programas antivirus
☐ Cifrado de soportes informáticos en ordenadores portátiles
☐ Uso de equipo cortafuegos
☐ Uso de programa cortafuegos
☐ Cifrado de soportes de datos móviles
☐ Cifrado de contenido de teléfonos inteligentes
☐ Uso centralizado de Programa de Administración de Teléfonos Inteligentes (p. ej. para supresión externa de datos personales)
Control de Acceso, Control de Entrada
☐ Mantenimiento de concepto de autorización adecuada
☐ Administración de derechos mediante administrador de sistema
☐ Tan pocos administradores como sea necesario
☐ Políticas de contraseñas que incluyan nomas relativas a la longitud de contraseñas y cambio de contraseñas
☐ Otros/comentarios (detallar):
☐ Registro de acceso a aplicaciones, especialmente de entrada, cambio o supresión de datos personales
☐ Trazabilidad de introducción, modificación y supresión de datos personales mediante nombre de usuario individual (no solo grupos de usuarios)
☐ Asignación transparente de derechos de introducción, modificación y supresión de datos personales de conformidad con el concepto de autorización
Control de transporte
☐ Almacenamiento seguro de soportes de datos
☐ Supresión física de soportes de datos previa a su reutilización
☐ Destrucción adecuada de soportes de datos por el prestador de servicios certificado
☐ Uso de trituradora o prestador de servicios (si es posible, con sello de privacidad)
☐ Otros/comentarios (detallar):
☐ Registro de destrucción
☐ Cifrado de soportes de datos
☐ Contenedores y embalajes seguros
☐ Selección rigurosa de personal de transporte y vehículos
Control de transmisión
☐ Uso de tecnología RPV
☐ Transmisión de datos personales de forma anónima o seudoanónima
☐ Cifrado de correo electrónico
☐ Otros/comentarios (detallar):
☐ Cifrado SSL (p. ej. sitios web)
☐ Creación de una recopilación de solicitudes periódicas y de procedimientos de transmisión.
☐ Documentación del receptor de datos personales
Control de órdenes
☐ Medidas para garantizar que los datos personales tratados por cuenta de terceros cumplan estrictamente las instrucciones del Encargado
☐ Selección rigurosa del Subencargado, en particular, en términos de seguridad de los datos.
☐ Revisión de las medidas de seguridad del subEncargado.
☐ Nombramiento de delegado de protección de datos
☐ Destrucción segura de datos personales después de la finalización del contrato
☐ Contrato de control eficaz de derechos del Subencargado
☐ Revisión periódica de subencargados del tratamiento
☐ Obligación de compromiso de los empleados en la protección de datos y la confidencialidad de los mismos.
☐ Otros/comentarios (detallar):
Integridad de Datos, Control de Disponibilidad
☐ Medidas para garantizar la protección de datos personales contra la destrucción, la modificación o la pérdida accidental.
☐ Sistema de alimentación ininterrumpida (SAI).
☐ Aire acondicionado en salas de servidores
☐ Dispositivos de control de temperatura y humedad en salas de servidores
☐ Regletas de alimentación de seguridad de suministro de corriente
☐ Detector de humos e incendios
☐ Extintores de incendios en salas de servidores
☐ Otros/comentarios (detallar):
☐ Sistema de alarma contra acceso no autorizado x xxxxx de servidores
☐ Mantenimiento del concepto de copias de seguridad y recuperación
☐ Comprobación adecuada de herramientas de recuperación de datos
☐ Mantenimiento del plan de emergencia
☐ Almacenamiento de copias de seguridad de datos personales en un lugar seguro y externo
☐ Salas de servidores no situadas debajo de instalaciones sanitarias
☐ Salas de servidores no situadas en zonas inundables: por encima del nivel del agua
División de Control
☐ Medidas para garantizar que los datos personales recogidos para diferentes fines puedan tratarse de manera separada
☐ Almacenamiento aislado físicamente en sistemas o en soportes de datos independientes
☐ Separación lógica de clientes (separación mediante programa)
☐ Mantenimiento del concepto de autorización
☐ Determinación de derechos relativos a
bases de datos
☐ Otros/comentarios (detallar):
C. Certificados
El Responsable y el Encargado acuerdan que el Encargado mantendrá los certificados siguientes durante la vigencia del Contrato o los sustituirá por certificados similares:
N/A
* * *
Anexo 3 – Delegados de protección de datos
Datos del Delegado de protección de datos del Responsable
Ecix Group, S.L.
Pº de la Xxxxxxxxxx, 00, 00000, Xxxxxx 91 001 67 67
Datos del Delegado de Protección de Datos / Contacto del Encargado
Nombre: [●] Dirección: [●] Tel: [●]
Fax: [●]
Correo electrónico: [●]
* * *
Anexo 4 – Subencargados del Tratamiento de Datos seleccionados
Subencargado | Descripción de los servicios y funciones del Tratamiento de Datos subcontratados | Garantías de la transferencia internacional de datos, en su caso |
[●] | [●] | |
[●] | [●] | |
[●] | [●] |
* * *