Acuerdo de Tratamiento de Datos
Acuerdo de Tratamiento de Datos
El Responsable del Tratamiento y el Encargado del Tratamiento acuerdan en este acto lo siguiente:
1. Interpretación
1.1 A efectos del presente Acuerdo de Tratamiento de Datos:
«Acuerdo» hace referencia al Acuerdo de Prestación de Servicios en la Nube, Programas y Servicios Profesionales al que se adjunta este Acuerdo de Tratamiento de Datos, y a sus modificaciones periódicas.
«Responsable del Tratamiento», a efectos del presente Acuerdo de Tratamiento de Datos, hará referencia al Cliente, tal como se define en el Acuerdo.
«Encargado del Tratamiento», a efectos del presente Acuerdo de Tratamiento de Datos, hará referencia al Proveedor, tal como se define en el Acuerdo.
1.2 Los términos utilizados en este Acuerdo de Tratamiento de Datos, pero no definidos de otra manera en este documento, tendrán el significado especificado en el Acuerdo.
2. Objeto del presente Acuerdo de Tratamiento de Datos
2.1 El presente Acuerdo de Tratamiento de Datos tiene por objeto garantizar la implantación de los procesos pertinentes en relación con el tratamiento de Datos Personales por parte del Encargado del Tratamiento según el Acuerdo y en relación con la prestación de los Servicios en la Nube y los Servicios a este respecto, ya que dichos términos se definen en el Acuerdo (en este Acuerdo de Tratamiento de Datos se hace referencia a los Servicios en la Nube y los Servicios de manera conjunta como los «Servicios»).
2.2 El término «Legislación sobre Protección de Datos» se refiere a todas las leyes de protección de datos y privacidad aplicables a los Datos Personales y al Reglamento General de Protección de Datos (UE) 2016/679 (el «RGPD»), así como a todas las leyes de transposición, los reglamentos y la legislación secundaria nacionales, en su versión refundida, y a cualquier legislación que suceda al RGPD.
2.3 Los términos «tratamiento» (o sus palabras derivadas), «Datos Personales»,
«Responsable del Tratamiento», «Encargado del Tratamiento», «Interesado» y
«medidas técnicas y organizativas apropiadas» tendrán el significado que se indique en la Legislación sobre Protección de Datos.
2.4 Siempre que el Encargado del Tratamiento trate Datos Personales sujetos a la Legislación sobre Protección de Datos en nombre del Responsable del Tratamiento durante la prestación de los Servicios al Responsable del Tratamiento, se aplicarán los términos del presente Acuerdo de Tratamiento de Datos. En el Anexo 2 se facilita una descripción general de las categorías de Datos Personales, los tipos de Interesados y los fines para los que se tratan los Datos Personales.
3. El Responsable del Tratamiento y el Encargado del Tratamiento
3.1 Tanto el Responsable del Tratamiento como el Encargado del Tratamiento cumplirán todas las obligaciones que les correspondan en virtud de la Legislación sobre Protección de Datos.
3.2 El Responsable del Tratamiento determinará el ámbito de aplicación, los fines y la manera en que el Encargado del Tratamiento podrá acceder a los Datos Personales o tratarlos. El Encargado del Tratamiento tratará los Datos Personales únicamente como se indica en las instrucciones por escrito del Responsable del Tratamiento.
3.3 El Encargado del Tratamiento solamente tratará los Datos Personales de acuerdo con las instrucciones documentadas del Responsable del Tratamiento de tal manera que —y en la medida en que— esto sea apropiado para la prestación de los Servicios, salvo que sea
necesario para cumplir una obligación jurídica a la que esté sujeto el Encargado del Tratamiento. En tal caso, el Encargado del Tratamiento deberá comunicar al Responsable del Tratamiento esa obligación jurídica antes de llevar a cabo el tratamiento, a menos que la ley prohíba explícitamente facilitar ese tipo de Información al Responsable del Tratamiento.
3.4 El Encargado del Tratamiento presta los Servicios para que el Responsable del Tratamiento se beneficie de los conocimientos técnicos del Encargado del Tratamiento en lo que se refiere a la protección y el tratamiento de los Datos Personales para los fines indicados en el Anexo 2. El Encargado del Tratamiento tendrá permitido emplear su propio criterio en la selección y el uso de los medios que considere necesarios para conseguir esos fines, de conformidad con los requisitos del presente Acuerdo de Tratamiento de Datos.
3.5 El Responsable del Tratamiento se asegurará de disponer de todos los derechos necesarios para facilitar los Datos Personales al Encargado del Tratamiento a fin de que se realice su Tratamiento en relación con los Servicios. En la medida que requiera la Legislación sobre Protección de Datos, el Responsable del Tratamiento es el responsable de garantizar la obtención de cualquier consentimiento necesario del Interesado para este Tratamiento, y de asegurar el mantenimiento de un registro de tales consentimientos. En caso de que el Interesado retire su consentimiento, el Responsable del Tratamiento será el responsable de comunicar dicha retirada del consentimiento al Encargado del Tratamiento, y el Encargado del Tratamiento seguirá siendo responsable de aplicar cualquier instrucción del Responsable del Tratamiento en lo que respecta al posterior tratamiento de esos Datos Personales.
4. Confidencialidad
Sin perjuicio de cualquier acuerdo contractual que exista entre las Partes, el Encargado del Tratamiento deberá tratar todos los Datos Personales con estricta confidencialidad y deberá velar por que todos sus empleados, mandatarios y/o subencargados del tratamiento que participen en el tratamiento de los Datos Personales queden obligados a mantener la confidencialidad de los mismos.
5. Seguridad del Tratamiento
5.1 Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, sin perjuicio de ninguna otra norma de seguridad acordada entre las Partes, el Responsable del Tratamiento y el Encargado del Tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad del tratamiento de los Datos Personales adecuado al riesgo. Entre estas medidas se incluirán, según proceda:
a) medidas para garantizar el acceso a los Datos Personales únicamente por parte de personal autorizado para los fines indicados en el Anexo 2 del presente Acuerdo de Tratamiento de Datos;
b) al evaluar la adecuación del nivel de seguridad, se tendrán particularmente en cuenta todos los riesgos que presente el tratamiento, por ejemplo, como consecuencia de la destrucción, pérdida o alteración accidental o ilícita, la conservación, el tratamiento, el acceso o la comunicación no autorizados o ilícitos de los Datos Personales;
c) la seudonimización y el cifrado de datos personales;
d) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
e) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
f) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento de los Datos Personales; y
g) medidas para identificar vulnerabilidades con respecto al tratamiento de los Datos Personales en los sistemas empleados para prestar servicios al Responsable del Tratamiento.
5.2 Cada parte será responsable por separado de llevar a cabo cualquier evaluación de impacto relativa a la protección de datos que sea necesaria, incluida cualquier consulta a un órgano regulador. Cuando cualquiera de las partes así lo solicite, la otra parte deberá proporcionar a la parte solicitante asistencia e Información que pueda exigir razonablemente para cumplir tales obligaciones.
6. Mejoras en la seguridad
6.1 El Responsable del Tratamiento reconoce que las medidas técnicas y organizativas que se recogen en la cláusula 4 anterior están sujetas al progreso y desarrollo técnico. El Encargado del Tratamiento puede implantar medidas alternativas adecuadas sin previo aviso al Responsable del Tratamiento, siempre que no sean menos adecuadas que el nivel de seguridad que ofrezcan las medidas especificadas aceptadas por el Responsable del Tratamiento en el momento de suscripción del presente Acuerdo de Tratamiento de Datos.
7. Transferencias de Datos
7.1 Por la presente, el Responsable del Tratamiento autoriza al Encargado del Tratamiento para que trate o transfiera Datos Personales en virtud del presente Acuerdo de Tratamiento de Datos a un país que se encuentre fuera del Espacio Económico Europeo para las actividades de tratamiento contempladas en este Acuerdo de Tratamiento de Datos (lo que incluye, para que no quepa duda alguna, la transferencia de dichos Datos Personales a cualquier subencargado del tratamiento situado en un país que se encuentre fuera del Espacio Económico Europeo en el que dicho subencargado del tratamiento haya sido nombrado según los términos del presente Acuerdo de Tratamiento de Datos), siempre que se cumplan los requisitos necesarios en virtud de la Legislación sobre Protección de Datos para tal transferencia internacional, entre otros: disponer medidas de protección adecuadas en relación con la transferencia, asegurándose de que el interesado tenga derechos que pueda ejercer y recursos legales efectivos, ofreciendo un nivel adecuado de protección de cualquier Dato Personal que se transfiera y acatando las instrucciones que el Responsable del Tratamiento le haya notificado previamente dentro de lo razonable con respecto al tratamiento de los Datos Personales.
7.2 En la medida en que el Responsable del Tratamiento o el Encargado del Tratamiento estén amparados por un mecanismo reglamentario específico para normalizar las transferencias internacionales de datos que posteriormente se modifique o revoque, o que los tribunales de la jurisdicción competente consideren no válido, el Responsable del Tratamiento y el Encargado del Tratamiento convienen en cooperar de buena fe para que la transferencia termine de inmediato o para buscar un mecanismo alternativo adecuado que permita la transferencia de forma lícita.
8. Incidentes de seguridad, derechos de los Interesados y otras peticiones
8.1 Cuando el Encargado del Tratamiento tenga conocimiento de un incidente que afecte al Tratamiento de los Datos Personales objeto de este Acuerdo de Tratamiento de Datos, deberá notificar el incidente de inmediato al Responsable del Tratamiento y ayudar al Responsable del Tratamiento con respecto al mismo, con el fin de que el Responsable del Tratamiento pueda realizar una investigación minuciosa del incidente, formular una respuesta correcta y adoptar otras medidas oportunas con respecto al incidente. Cada una de las partes soportará sus propios costes en relación con la investigación de un incidente y la respuesta a este, así como en relación con otras medidas contempladas en virtud de esta cláusula 8.
8.2 En cualquier caso, el término «incidente» que se emplea en la cláusula 8.1 significará:
a) una reclamación o petición con respecto al ejercicio de los derechos de un Interesado recogidos en la Legislación sobre Protección de Datos;
b) una investigación o embargo de los Datos Personales por parte de un órgano regulador o una autoridad de control, o un indicio específico de que esa investigación o embargo es inminente;
c) todo acceso, tratamiento, eliminación o pérdida no autorizado o accidental o toda forma de tratamiento ilícito de los Datos Personales;
d) cualquier violación de la seguridad y/o confidencialidad como se indica en las cláusulas 3 y 4 del presente Acuerdo de Tratamiento de Datos que dé lugar a la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidentales o ilícitos en relación con los Datos Personales, o cualquier indicio de que esa violación ha tenido lugar o va a tener lugar;
e) que, a juicio del Encargado del Tratamiento, cumplir una instrucción del Responsable del Tratamiento vulneraría las leyes aplicables a las que estén sujetos el Responsable del Tratamiento o el Encargado del Tratamiento.
El Encargado del Tratamiento tendrá implantados procedimientos por escrito que le permitan responder de inmediato ante el Responsable del Tratamiento por un incidente.
8.3 Cualquier notificación comunicada al Responsable del Tratamiento con arreglo a esta cláusula 7 deberá dirigirse al empleado del Responsable del Tratamiento cuyos datos de contacto se facilitan en el Anexo 1 del presente Acuerdo de Tratamiento de Datos, y deberá incluir:
a) una descripción de la naturaleza del incidente, inclusive, cuando sea posible, las categorías y el número aproximado de Interesados afectados, y las categorías y el número aproximado de registros de Datos Personales afectados;
b) el nombre y los datos de contacto del delegado de protección de datos del Encargado del Tratamiento u otro punto de contacto en el que pueda obtenerse más Información;
c) una descripción de las posibles consecuencias del incidente; y
d) una descripción de las medidas adoptadas o propuestas por el Encargado del Tratamiento para poner remedio al incidente, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
9. Contratación de Subencargados del Tratamiento
9.1 El Responsable del Tratamiento consiente que el Encargado del Tratamiento designe a cualquier Subencargado del Tratamiento de Datos Personales en virtud de este Acuerdo de Tratamiento de Datos. El Encargado del Tratamiento deberá cerciorarse de que todo Subencargado del Tratamiento que designe se someta a las mismas obligaciones de protección de datos que el Encargado del Tratamiento en virtud del presente Acuerdo de Tratamiento de Datos o a otras equivalentes. Además, deberá supervisar el cumplimiento de las mismas y, particularmente, debe imponer a sus Subencargados del Tratamiento la obligación de aplicar medidas técnicas y organizativas adecuadas de tal manera que el tratamiento cumpla los requisitos de la Legislación sobre Protección de Datos.
10. Devolución o destrucción de los Datos Personales
10.1 Al término del presente Acuerdo de Tratamiento de Datos, a petición por escrito del Responsable del Tratamiento o tras cumplirse todos los fines acordados en el contexto de la prestación de los Servicios de modo que ya no se necesite ningún tratamiento ulterior, el Encargado del Tratamiento deberá, según indique el Responsable del Tratamiento,
suprimir o destruir la totalidad de los Datos Personales o devolverlos al Responsable del Tratamiento y destruir o devolver cualquier copia existente.
10.2 El Encargado del Tratamiento deberá notificar a todos los Subencargados del Tratamiento que realicen su propio tratamiento de los Datos Personales de la finalización del Acuerdo de Tratamiento de Datos y procurar que todos esos terceros destruyan los Datos Personales o los devuelvan al Responsable del Tratamiento, según las indicaciones de este.
11. Asistencia al Responsable del Tratamiento
11.1 El Encargado del Tratamiento deberá asistir al Responsable del Tratamiento en el cumplimiento de la obligación del Responsable del Tratamiento de atender las peticiones de los Interesados para ejercer sus derechos en virtud de la Legislación sobre Protección de Datos.
11.2 El Encargado del Tratamiento deberá asistir al Responsable del Tratamiento para garantizar el cumplimiento de las obligaciones con arreglo a la cláusula 4 (Seguridad del Tratamiento) y de la consulta previa al órgano regulador o la autoridad de control que se recoge en el artículo 36 del RGPD o en la Legislación sobre Protección de Datos pertinentes, teniendo en cuenta la naturaleza del tratamiento y la Información a disposición del Encargado del Tratamiento.
11.3 El Encargado del Tratamiento deberá poner a disposición del Responsable del Tratamiento toda la Información necesaria para demostrar que cumple las obligaciones del Encargado del Tratamiento, y permitir auditorías y contribuir a las mismas, entre ellas, las inspecciones, realizadas por el Responsable del Tratamiento u otro auditor bajo las órdenes de este.
12. Indemnización
En la medida en que la ley lo permita, el Responsable del Tratamiento deberá indemnizar al Encargado del Tratamiento por cualquier pérdida, deuda, coste (costas procesales incluidas), daño o gasto en los que este incurra que sea directa o indirectamente producto de cualquier incumplimiento por parte del Responsable del Tratamiento de cualquiera de sus obligaciones con arreglo al presente Acuerdo de Tratamiento de Datos o de cualquier incumplimiento del Responsable del Tratamiento de sus obligaciones en virtud de la Legislación sobre Protección de Datos, incluidos los costes y gastos que comporte gestionar reclamaciones privadas o hacer cumplir normas legales.
13. Vigencia y finalización
13.1 El presente Acuerdo de Tratamiento de Datos entrará en vigor en la Fecha de Entrada en Vigor del Acuerdo.
13.2 La finalización o extinción del presente Acuerdo de Tratamiento de Datos no exime al Encargado del Tratamiento del cumplimiento de sus obligaciones de confidencialidad recogidas en la cláusula 3.
13.3 El Encargado del Tratamiento deberá tratar los Datos Personales hasta el final de Plazo de Suscripción, salvo que el Responsable del Tratamiento indique otra cosa, o hasta que tales datos se devuelvan o destruyan de acuerdo con las instrucciones del Responsable del Tratamiento.
14. Disposiciones varias
14.1 El presente Acuerdo de Tratamiento de Datos se rige por la legislación de Inglaterra. Cualquier litigio que surja a partir del presente Acuerdo de Tratamiento de Datos, o tenga relación con el mismo, deberá incoarse exclusivamente ante los tribunales competentes de Inglaterra.
Anexo 1: Información de contacto
Información de contacto del [delegado de protección de datos/responsable de cumplimiento] del Responsable del Tratamiento.
Especificada en las Condiciones Particulares al Acuerdo
Información de contacto del delegado de protección de datos del Encargado del Tratamiento. Responsable de protección de datos
Glory Global Solutions (International) Limited Infinity View
0 Xxxxxxxxx Xxxx Xxxx Xxx Xxxxxxxx Xxxxxxxxxxx Xxxxxxxxx XX00 0XX
XX
Anexo 2: Tratamiento, Datos Personales e Interesados Tratamiento por el Encargado del Tratamiento
Ámbito de aplicación
Tratamiento de Datos Personales del Cliente para la prestación de los servicios en la nube de GGS apropiados y el acceso a los mismos. Los Datos Personales también pueden recabarse utilizando la herramienta del cliente in situ.
Naturaleza y objeto
Se requiere el tratamiento de Datos Personales para el cumplimiento del Acuerdo entre las partes al que se adjunta este Acuerdo de Tratamiento de Datos. El tratamiento de Datos Personales está limitado a las actividades dentro del ámbito de aplicación.
Duración
El tratamiento de Datos Personales abarcará la duración y los términos del Acuerdo.
Interesados
Los Datos Personales objeto del tratamiento podrán afectar a las siguientes categorías de Interesados:
Los Interesados especificados por el cliente, lo que puede incluir a los empleados del cliente, directivos, trabajadores de oficinas de representación, trabajadores desplazados, voluntarios, aprendices, representantes, contratistas, consultores externos, representantes externos y socios empresariales o cualquier otra persona vinculada al cliente.
Categorías de datos
Los Datos Personales objeto del tratamiento podrán afectar a las siguientes categorías de datos (seleccione todas las opciones que correspondan):
☐Nombre ☒Domicilio (opcional) ☒dirección de correo electrónico
☐Dirección de correo electrónico personal ☐Número de teléfono (opcional) ☒Número de teléfono personal
☒Fecha de nacimiento ☒Número de la Seguridad Social ☐Información sobre el pasaporte
☒Información familiar ☐Pariente más cercano ☒Género
☒Información sobre el permiso de conducir ☒Información financiera ☐Otros (especificar abajo)
Categorías especiales de datos (si procede)
No aplicable