Acuerdo de Tratamiento de Datos
Acuerdo de Tratamiento de Datos
En el presente Acuerdo de Tratamiento de Datos Personales («DPA», por sus siglas en inglés) se establecen las condiciones para el tratamiento de datos personales entre SIA DeskTime («DeskTime») y cualquier empresa, organización, institución o persona que actúe como revendedor (el «Revendedor»), de conformidad con el Programa de Revendedores de DeskTime (el
«Programa») y a los efectos de la reventa del software DeskTime (los «Servicios»). Este DPA forma parte de las Condiciones Generales del Programa (las «Condiciones») y queda incorporado y sujeto a dichas Condiciones.
En adelante, se hará referencia a DeskTime y al Revendedor como «Parte» individualmente y como las «Partes» colectivamente.
1. Definiciones
1.1. «Leyes de Protección de Datos» se refiere al RGPD y a las leyes que aplican o complementan el RGPD y, en la medida aplicable, a las leyes de protección de datos o privacidad de cualquier otro país;
1.2. «RGPD» se refiere al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE;
1.3. «Violación de Seguridad de los Datos Personales» se refiere a una violación de la seguridad que da lugar a la destrucción accidental o ilícita, pérdida accidental, alteración, divulgación no autorizada o acceso a los Datos Personales transmitidos, almacenados o tratados de algún otro modo (tal como se define en el RGPD en cada caso);
1.4. «Datos Personales» se refiere a la información relativa a una Persona Interesada (tal y como se define en las Leyes de Protección de Datos);
1.5. «Cláusulas Contractuales Tipo» se refiere a las cláusulas contractuales tipo adoptadas por la Comisión Europea para las transferencias de datos entre países de la Unión Europea y terceros países;
1.6. «Subencargado del Tratamiento» se refiere a cualquier entidad (incluidos terceros, pero con exclusión de los empleados del Revendedor) contratada por el Revendedor para tratar Datos Personales en nombre de DeskTime;
1.7. «Terceros Países» se refiere a todos los países fuera del Espacio Económico Europeo, con exclusión de los países que hayan sido reconocidos como garantes de un nivel adecuado de protección de Datos Personales por la Comisión Europea;
1.8. Los términos «responsable del tratamiento», «datos personales», «tratamiento», «encargado del tratamiento» y
«autoridad de control» tendrán el mismo significado que en el RGPD y los términos relacionados se interpretarán del mismo modo.
2. Funciones
2.1. Las Partes acuerdan y reconocen que, a los efectos del Programa y del tratamiento de los Datos Personales durante el Programa, DeskTime se considerará el responsable del tratamiento y el Revendedor, por su parte, el encargado del tratamiento.
2.2. DeskTime confirma que en el presente DPA se recogen instrucciones suficientes para el Revendedor en relación con el tratamiento de los Datos Personales, así como su alcance y sus fines y, por lo tanto, constituye un acuerdo vinculante de tratamiento de datos de conformidad con las Leyes de Protección de Datos.
3. Tratamiento de Datos Personales
3.1. El Revendedor tratará los Datos Personales en nombre de DeskTime de conformidad con lo dispuesto en este DPA y en la medida necesaria para prestar los Servicios a DeskTime de acuerdo con las Condiciones.
3.2. Las Partes se comprometen a cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos. Cada Parte es la única responsable del cumplimiento de las Leyes de Protección de Datos que le sean aplicables.
3.3. El Revendedor tratará los Datos Personales de conformidad con este DPA, las instrucciones de DeskTime o en la medida necesaria para prestar los Servicios de acuerdo con las Condiciones y según se detalla en el Anexo 1. A fin de evitar posibles dudas, salvo que las Partes lo acuerden por escrito, el Revendedor no estará autorizado a tratar los Datos Personales para sus propios fines.
3.4. Si el Revendedor no puede garantizar el cumplimiento de las instrucciones de DeskTime por alguna razón (como, por ejemplo, si alguna instrucción infringe las Leyes de Protección de Datos), entonces este se compromete a informar a DeskTime de su incapacidad para cumplirlas con la mayor brevedad razonablemente posible. El hecho de que el Revendedor no informe a DeskTime al respecto no afectará a la responsabilidad de DeskTime con respecto a sus instrucciones.
4. Deberes y obligaciones de DeskTime
4.1. DeskTime es responsable de garantizar que las instrucciones proporcionadas al Revendedor en relación con el tratamiento de los Datos Personales se ajusten a la legislación aplicable, incluidas las Leyes de Protección de Datos.
4.2. DeskTime confirma que los Datos Personales transferidos al Revendedor los ha recopilado DeskTime con un fundamento legal válido y que DeskTime ha obtenido todos los consentimientos necesarios, si procede, o ha efectuado todas las notificaciones necesarias según lo establecido por las Leyes de Protección de Datos.
5. Deberes y obligaciones del Revendedor
5.1. El Revendedor tomará las medidas organizativas, técnicas y administrativas oportunas para proteger la confidencialidad, integridad y disponibilidad de los Datos Personales. El conjunto de estas medidas se define con mayor detalle y se expone en el Anexo 1 de este DPA.
5.2. Las Partes reconocen que la idoneidad de las medidas de seguridad mencionadas en el Anexo 1 puede cambiar con el tiempo y que para que un conjunto de medidas de seguridad sea eficaz es necesario evaluarlo y mejorarlo frecuentemente. Por lo tanto, el Revendedor evaluará, reforzará, aumentará o mejorará con frecuencia estas medidas para garantizar un nivel de protección adecuado de los Datos Personales.
5.3. El Revendedor tomará las medidas oportunas para garantizar que el acceso a los Datos Personales se limite estrictamente a aquellas personas que necesiten conocer o acceder a los Datos Personales correspondientes según sea estrictamente necesario para los fines de las Condiciones. Además, se asegurará de que el comportamiento de todas estas personas se rija por estrictos requisitos de confidencialidad u obligaciones profesionales o legales de confidencialidad. Esta obligación de confidencialidad no estará limitada en el tiempo y continuará siendo de aplicación con independencia de que se ponga fin a la cooperación de las Partes.
6. Solicitudes de los interesados y asistencia a DeskTime
6.1. El Revendedor informará a DeskTime en el caso de que reciba:
6.1.1. alguna solicitud de una persona física con respecto a los Datos Personales tratados, como, entre otras, las solicitudes de acceso o rectificación, bloqueo, portabilidad de datos y todas las solicitudes similares;
6.1.2. alguna reclamación con respecto al tratamiento de Datos Personales, como alegaciones de que el tratamiento infringe los derechos de una Persona Interesada en virtud de cualquier Ley de Protección de Datos; o
6.1.3. alguna orden, demanda, mandato judicial o cualquier otro documento que pretenda obligar a la presentación de Datos Personales en virtud de la legislación aplicable.
6.2. El Revendedor informará inmediatamente a DeskTime en caso de que reciba alguno de los documentos e instrumentos indicados anteriormente, salvo que la legislación aplicable lo prohíba expresamente. El Revendedor no responderá a ninguno de esos documentos e instrumentos a menos que DeskTime le autorice expresamente a hacerlo o que tenga la obligación de hacerlo en virtud de la legislación aplicable o de una orden judicial.
6.3. El Revendedor cooperará y asistirá a DeskTime con respecto a cualquier acción emprendida en relación con una solicitud, reclamación, orden u otro documento e instrumento citado en la Cláusula 6.1 anterior. En la medida de lo razonablemente posible y teniendo en cuenta la naturaleza del tratamiento y la información disponible para el Revendedor, el Revendedor tomará las medidas técnicas y organizativas oportunas para brindar a DeskTime dicha cooperación y asistencia.
6.4. El Revendedor asistirá razonablemente a DeskTime con respecto a lo siguiente:
6.4.1. garantizar el cumplimiento de las obligaciones de DeskTime en virtud de las Leyes de Protección de Datos;
6.4.2. poner a disposición de DeskTime toda la información razonable que resulte necesaria para demostrar el cumplimiento de las Leyes de Protección de Datos; y
6.4.3. llevar a cabo las evaluaciones pertinentes de impacto sobre la protección de datos y los procedimientos de consulta previa mencionados en los Artículos 35 y 36 del RGPD.
7. Violación de Seguridad de los Datos Personales
7.1. En el caso de que se produzca una Violación de Seguridad de los Datos Personales, el Revendedor informará a DeskTime sin demoras indebidas y en un plazo máximo de 48 horas tras tener conocimiento de dicha Violación de Seguridad de los Datos Personales. Al informar a XxxxXxxx, el Revendedor deberá proporcionar lo siguiente:
7.1.1. descripción de la naturaleza de la Violación de Seguridad de los Datos Personales, que deberá incluir, siempre que sea posible, las categorías y el número de Personas Interesadas;
7.1.2. nombre y datos de contacto del responsable de protección de datos del Revendedor u otro punto de contacto donde pueda obtenerse más información;
7.1.3. descripción de las posibles consecuencias de la Violación de Seguridad de los Datos Personales;
7.1.4. descripción de las medidas adoptadas o propuestas por parte del Revendedor para abordar la Violación de Seguridad de los Datos Personales, que incluya, según proceda, medidas para mitigar sus posibles efectos adversos.
7.2. Cuando no sea posible facilitar la información al mismo tiempo, se podrá facilitar por fases sin demoras indebidas.
7.3. El Revendedor tomará inmediatamente todas las medidas necesarias y oportunas para investigar, mitigar y remediar los efectos de una Violación de Seguridad de los Datos Personales y brindará asistencia a DeskTime para garantizar que DeskTime pueda cumplir con sus obligaciones en virtud de las Leyes de Protección de Datos de las que pueda ser objeto de aplicación en relación con la Violación de Seguridad de los Datos Personales.
8. Derechos de auditoría
8.1. Previa solicitud por escrito por parte de DeskTime, el Revendedor proporcionará información suficiente para demostrar el cumplimiento de las obligaciones establecidas en el presente DPA y en las Leyes de Protección de Datos. Esta información se facilitará siempre que esté bajo el control del Revendedor y que este no tenga prohibido divulgarla en virtud de la legislación aplicable, de una obligación de confidencialidad o de cualquier otra obligación contraída con un tercero.
8.2. Si, según el criterio razonable de DeskTime, la información aportada por el Revendedor no es suficiente para demostrar el cumplimiento de lo dispuesto en el presente DPA por parte del Revendedor, este se compromete a permitir y contribuir a la ejecución de auditorías de tratamiento de datos, siempre que la auditoría no implique la revisión de datos de terceros y que los registros y la información a los que se acceda en relación con la auditoría se traten como información confidencial.
8.3. Estas auditorías podrán ser llevadas a cabo directamente por parte de o a través de auditores y agentes autorizados por DeskTime. DeskTime asumirá los costes de todas las auditorías de este tipo.
8.4. Estas auditorías las podrá llevar a cabo DeskTime en el momento acordado por las Partes, en el plazo de 2 (dos) semanas a partir del momento en el que DeskTime haya solicitado por escrito la auditoría en cuestión. DeskTime podrá solicitar una auditoría al año o con una frecuencia mayor si el Revendedor ha sufrido una Violación de Seguridad de los Datos Personales que haya afectado a los Datos Personales de DeskTime. La auditoría se llevará a cabo durante el horario laboral habitual del Revendedor, sin perjudicar sus actividades comerciales.
9. Intercambio de Datos Personales con terceros
9.1. El Revendedor podrá seguir utilizando a los Subencargados del Tratamiento ya contratados por el Revendedor en la fecha del presente DPA conforme a los siguientes requisitos:
9.1.1. el Revendedor ha llevado a cabo una diligencia debida adecuada para garantizar que el Subencargado del Tratamiento es capaz de proporcionar un nivel de protección suficiente de los Datos Personales;
9.1.2. el Revendedor se ha asegurado de que el acuerdo entre el Revendedor y el Subencargado del Tratamiento correspondiente se rige por un contrato escrito con cláusulas que ofrecen al menos el mismo nivel de protección de los Datos Personales que los establecidos en este DPA y cumplen los requisitos del Artículo 28, apartado 3, del RGPD. Si DeskTime lo solicita, el Revendedor podrá proporcionar a DeskTime para su revisión copias de esos acuerdos con los Subencargados del Tratamiento, que podrán editarse para eliminar la información comercial confidencial que no sea pertinente para los requisitos del presente DPA.
9.2. Si el Subencargado del Tratamiento no puede cumplir sus obligaciones de conformidad con el acuerdo de tratamiento de datos mencionado en la Cláusula 9.1.2., el Revendedor seguirá siendo plenamente responsable ante DeskTime de las obligaciones y actividades del Subencargado del Tratamiento. El Revendedor será responsable de cualquier consecuencia de las actividades del Subencargado del Tratamiento en relación con el tratamiento de Datos Personales.
9.3. El Revendedor informará a DeskTime sobre cualquier cambio previsto en los Subencargados del Tratamiento con un plazo de 30 días de antelación y dará a DeskTime la posibilidad de oponerse a los cambios dentro de lo razonable. Si DeskTime se opone a los cambios, el Revendedor no contratará al Subencargado del Tratamiento propuesto hasta que se hayan tomado medidas razonables para abordar las objeciones planteadas por XxxxXxxx y se haya informado por escrito a DeskTime de dichas medidas. Si no se atienden las objeciones de DeskTime, el Revendedor permitirá a DeskTime poner fin a la cooperación de conformidad con las Condiciones. En virtud de las Condiciones o de la legislación aplicable, DeskTime no será responsable de ninguna rescisión por parte de DeskTime conforme a la presente Cláusula.
9.4. De conformidad con los requisitos de la Cláusula 9, DeskTime acepta que el Revendedor pueda designar a un Subencargado del Tratamiento ubicado en un Tercer País, siempre que garantice que la transferencia y el tratamiento de datos se efectuarán de conformidad con los requisitos de las Leyes de Protección de Datos. DeskTime otorga al Revendedor un mandato para aplicar las Cláusulas Contractuales Tipo con los detalles de tratamiento establecidos en este DPA a los efectos del Anexo 1 y el Anexo 2 de las Cláusulas Contractuales Tipo con cualquier subcontratista o afiliado pertinente que designe en nombre de DeskTime.
10. Responsabilidad
10.1. Cada Parte será responsable de los daños sufridos por la otra Parte que hayan sido causados directamente por el incumplimiento por parte de una de las Partes de los compromisos asumidos en el presente DPA, de conformidad con las limitaciones y exclusiones de responsabilidad acordadas en las Condiciones.
10.2. El Revendedor no será responsable y DeskTime indemnizará y mantendrá indemne al Revendedor ante cualquier reclamación o queja de una Persona Interesada en relación con cualquier acción del Revendedor que resulte de instrucciones directas recibidas de DeskTime.
10.3. El Revendedor será responsable de cualquier daño o pérdida causada a la Persona Interesada o DeskTime (incluida cualquier multa administrativa aplicable a DeskTime por las actividades del Revendedor), en el caso de que el Revendedor haya incumplido las Leyes de Protección de Datos aplicables, las Condiciones, este DPA o las instrucciones de DeskTime en relación con el tratamiento de Datos Personales. El Revendedor deberá reembolsar y mitigar los daños y perjuicios causados a las Personas Interesadas o a DeskTime.
11. Vigencia, resolución y supresión de Datos Personales
11.1. El presente DPA entrará en vigor a partir de su firma y continuará en plena vigencia mientras las Condiciones estén en vigor y hasta que todos los Datos Personales sean devueltos a DeskTime o eliminados de conformidad con lo dispuesto en el presente DPA o en las Leyes de Protección de Datos aplicables, tras lo cual este DPA quedará resuelto automáticamente de manera simultánea, con la excepción de las cláusulas que por su naturaleza deban continuar en plena vigencia.
11.2. Una vez resuelto el presente DPA, el Revendedor eliminará o devolverá a DeskTime todas las copias de los Datos Personales de forma inmediata y en un plazo máximo de 15 días a partir de la fecha de resolución de las Condiciones. DeskTime reconoce que el Revendedor puede optar por aplicar medidas de anonimización en lugar de eliminar determinados Datos Personales, dado que la anonimización es irreversible. El Revendedor confirmará por escrito la eliminación o devolución de los Datos Personales en respuesta a dicha solicitud.
12. Otras disposiciones
12.1. El presente DPA y todas las obligaciones extracontractuales o de otro tipo que se deriven o estén relacionadas con este, incluidas las Cláusulas Contractuales Tipo, se rigen por la legislación de la República de Xxxxxxx.
12.2. Nada de lo dispuesto en este DPA reduce las obligaciones del Revendedor en virtud de las Condiciones con respecto a la protección de Datos Personales ni permite al Revendedor tratar (o permitir el tratamiento de) Datos Personales de un modo que esté prohibido por las Condiciones. En caso de conflicto o incoherencia entre el presente DPA y las Cláusulas Contractuales Tipo, prevalecerán las Cláusulas Contractuales Tipo.
12.3. El presente DPA formará parte integral de las Condiciones. En caso de discrepancia entre las disposiciones del presente DPA y las Condiciones, prevalecerán las disposiciones del presente DPA.
12.4. Si alguna de las disposiciones del presente DPA se considera inválida o inaplicable, esa disposición se suprimirá y el resto de las disposiciones seguirán siendo aplicables.
12.5. Los litigios y conflictos que puedan surgir durante la vigencia del presente DPA los resolverán las Partes mediante negociaciones bilaterales. Los litigios y desacuerdos para los que no se haya alcanzado un acuerdo se resolverán de conformidad con la legislación aplicable de la República de Xxxxxxx.
Anexo 1
Detalles del Tratamiento de Datos Personales
a) Categorías de Personas Interesadas: [personas físicas o representantes de personas jurídicas que hayan manifestado su interés en utilizar los servicios de DeskTime].
b) Categorías de Datos Personales: [nombre, apellidos, dirección de correo electrónico, número de teléfono]
c) Datos sensibles: no aplicable
d) Frecuencia de la transferencia: de forma continuada de conformidad con las Condiciones
e) Naturaleza y fines del tratamiento: tratamiento de la información durante el Programa.
f) Período de conservación de los Datos Personales: los Datos Personales se conservarán únicamente durante la duración del Programa, de conformidad con las Condiciones y las instrucciones de DeskTime.
g) Autoridad de control competente: Datu valsts inspekcija (Inspección Estatal de Datos) de la República de Xxxxxxx.
Medidas técnicas y organizativas para garantizar la seguridad de los Datos Personales
[Ejemplos de posibles medidas:
Medidas de seudonimización y cifrado de datos personales
Medidas para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento
Medidas para garantizar la capacidad de restablecer la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidente físico o técnico
Procesos para comprobar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas con el fin de garantizar la seguridad del tratamiento
Medidas de identificación y autorización de los usuarios Medidas de protección de datos durante la transmisión Medidas de protección de datos durante el almacenamiento
Medidas para garantizar la seguridad física de los lugares en los que se tratan datos personales Medidas para garantizar el registro de incidentes
Medidas para garantizar la configuración del sistema, incluida la configuración por defecto
Medidas para la gobernanza y la gestión internas de la informática y la seguridad informática
Medidas de certificación/garantía de procesos y productos Medidas para garantizar la minimización de los datos Medidas para garantizar la calidad de los datos
Medidas para garantizar una conservación limitada
de los datos
Medidas para garantizar la rendición de cuentas
Medidas para permitir la portabilidad de los datos y garantizar su supresión Activación de la autenticación multifactor siempre que sea posible