Términos y condiciones para el tratamiento de datos personales
Términos y condiciones para el tratamiento de datos personales
1. Introducción
Los presentes términos y condiciones se aplican a los servicios prestados por la entidad vendedora de ZF identificada en el Contrato de servicios y en nombre de sus filiales (en lo sucesivo denominados colectivamente el «Encargado») al Cliente que utiliza los Servicios, tal y como se define a continuación (en lo sucesivo, denominado el
«Cliente» o el «Responsable»).
De aquí en adelante, al Responsable y al Encargado se les denominará conjuntamente las «Partes» e individualmente, la «Parte».
Considerando que el Encargado presta servicios de IoT, soluciones de gestión de flotas y otros productos y servicios (los «Servicios») al Cliente, tal y como se describe en el Contrato de servicios y en los Términos y condiciones para el suministro de servicios telemáticos y de Internet de las cosas (colectivamente el «Acuerdo de servicios») celebrado entre el Encargado y el Cliente.
Considerando que, en tanto que la prestación de Servicios requiere compartir y tratar Datos personales entre las Partes respectivas, estos Términos y condiciones específicos determinan la forma en que estas pueden recibir, acceder y tratar los Datos personales de la otra Parte si, y en la medida que, el Encargado trata los Datos personales como Encargado, en nombre del Cliente, en relación con los Servicios prestados por el Encargado al Cliente en virtud del Acuerdo de servicios. ZF, como grupo automovilístico, industrial y tecnológico a escala mundial, desarrolla, fabrica y vende, entre otras cosas, soluciones de conectividad del Internet de las cosas (IoT) y telemática basada en la nube para diversos sectores. Dichas soluciones pueden incluir una combinación de hardware, software y los correspondientes servicios para posibilitar la conexión en red de vehículos y otros objetos, y permitir a los clientes gestionar digitalmente sus flotas y supervisar vehículos y mercancías. El Cliente utiliza el correspondiente sistema para una solución digital basada en la nube (de aquí en adelante, el
«Producto»). Si están disponibles, y en la medida que se especifique, los datos obtenidos a través del Producto se pueden almacenar, gestionar, y se puede acceder a ellos, en la plataforma en la nube proporcionada por el Encargado del tratamiento. Dependiendo de la solución específica, y en la medida en que esté disponible, el Producto puede ofrecer ajustes de gestión de datos que se pueden activar o desactivar, como obtención de datos basada en eventos, modos de privacidad para detener el tratamiento de los datos, difuminar los datos a los que se acceda en la plataforma en la nube o limitar los periodos de almacenamiento. Independientemente de cuáles sean los ajustes predeterminados, el Cliente es plenamente responsable del uso del Producto, incluyendo sus ajustes de gestión de datos, conforme a la ley. Por consiguiente, el Cliente garantiza al Encargado que llevará a cabo el tratamiento de los datos, en calidad de Responsable de los datos, en todo momento de conformidad con la legislación vigente en materia de protección de datos, y que garantizará la base jurídica efectiva para el tratamiento de los datos personales, como por ejemplo, el consentimiento explícito del interesado si así lo exige la legislación local. El Cliente garantiza asimismo que ajustará la
configuración de la gestión de datos antes de utilizar el Producto por primera vez si esto fuera necesario para asegurarse de que el Producto se utilice conforme a la ley. Estos Términos y condiciones para el tratamiento de Datos personales se aplican en tanto no se firme entre las partes un Contrato de tratamiento de datos (CTD) independiente. Dicho CTD suscrito tendrá prioridad sobre cualquier término en conflicto con estos Términos y condiciones.
2. Definiciones
a. Los términos definidos en el Acuerdo de servicios entre el Encargado y el Responsable tendrán el mismo significado cuando se utilicen en estos Términos y condiciones para el tratamiento de datos («Términos»).
b. A efectos de estos Términos, «Datos personales», «Categorías especiales de datos»,
«Tratar/tratamiento», «Responsable» (o
«Responsable de los datos»), «Encargado» (o
«Encargado de los datos»), «Encargado subordinado», «Persona interesada» e «Infracción de seguridad de los datos personales» tendrán el mismo significado que el establecido en las Leyes de protección de datos correspondientes.
c. «Leyes de protección de datos» significa el Reglamento general de protección de datos 2016/679 («RGPD») y las disposiciones legales nacionales complementarias de los Estados miembros del EEE, la Directiva de la UE 2002/58/CE de 12 de julio de 2002 relativa al tratamiento de los Datos personales y a la protección de la privacidad en el sector de las comunicaciones electrónicas, según recogen las leyes nacionales de los Estados miembros del EEE, con sus eventuales modificaciones, derogaciones, sustituciones o complementos, así como cualquier otra ley o normativa de protección de datos y privacidad aplicable a los Datos personales controlados por cada Parte.
3. Objeto y términos
Estos Términos se aplicarán a cualquier forma en que el Encargado obtenga, utilice, comparta y trate los Datos personales si, y solo si, el Encargado trata los Datos personales en calidad de Encargado en nombre del Cliente en relación con los Servicios prestados por el Encargado al Cliente en el marco del Acuerdo de servicios.
Estos Términos reemplazan cualquier acuerdo anterior contraído entre las Partes sobre aspectos relativos al tratamiento de Datos personales sin anularlo, con la excepción de cualquier Contrato de tratamiento de datos específico suscrito entre las Partes. Estos Términos son parte integrante del Acuerdo de servicios acordado entre el Encargado y el Cliente. Se considerará que estos Términos entran en vigor desde la fecha de la firma del Acuerdo de servicios, y que continuarán en plena vigencia y efecto hasta la rescisión del Acuerdo de servicios. Ocasionalmente, el Encargado puede modificar estos Términos. La última versión en vigor estará siempre disponible en el
sitio web del Encargado: xxxxx://xxx.xx.xxx/xx/xxxxx/XX-Xxxxxxxxxx-xx- processing-personal-data
4. Alcance
Las Partes, cada una según su capacidad, tratarán los Datos personales conforme a las Leyes de protección de datos y a cualquier otra normativa aplicable a la que esté sujeta la Parte respectiva.
Tipo de datos
El Responsable definirá que el Encargado obtenga, trate y utilice una o más de las siguientes categorías de datos, según estipulan estos Términos.
Los Datos personales entregados, almacenados, enviados o recibidos por el Cliente o sus usuarios finales a través de la Solución de gestión de flotas, entre los cuales se pueden encontrar, dependiendo de los servicios solicitados por el Responsable:
• Nombre, tratamiento, número de permiso de conducción, titulación, fechas de entrada/salida del servicio, fecha de caducidad del certificado médico
• Direcciones profesionales, comerciales o laborales
• Fecha/año/fecha de nacimiento
• Datos de telecomunicaciones (p. ej., conexión, ubicación, datos de tráfico y utilización)
• Número de teléfono, número de teléfono móvil
• Dirección de correo electrónico
• Datos de tacógrafo (horas de conducción, descanso, trabajo)
• Mensajes
• Direcciones IP
• Datos ECO
• Datos de planificación y control
• Datos precisos de ubicación (posiciones GPS)
• Matrícula de camión y remolque
• Datos de diagnóstico relacionados con el dispositivo y el servicio
• Fotografía
• Sexo
• Función (conductor/visitante/expedidor/administra dor)
• Idioma de usuario del conductor
• Tarjeta de tacógrafo: ID
• Tarjeta de tacógrafo: país de expedición
• Actividades (conducción, parada, descanso, etc.)
• Alarmas
• Fecha de la última lectura del tacógrafo
• Tendencia/Rendimiento ECO: ralentí, altas revoluciones, velocidad excesiva, punto muerto, frenadas fuertes, control de crucero, consumo de combustible promedio
• Integración de datos TracKing para remolques (Thermo Xxxx): temperatura de zona, estado de la puerta, presión de los neumáticos, alarmas
• Datos de FMS del vehículo/datos de uso del vehículo, por ejemplo: distancia recorrida, hora del día, duración de la conducción, velocidad del vehículo, revoluciones del motor, carga del motor, temperatura del motor, maniobras de frenado/viraje/aceleración, duración y distancia del trayecto, voltaje de la batería
• Datos de uso del remolque, por ejemplo: distancia recorrida, hora del día, duración de la conducción, velocidad del remolque, carga del remolque, frenado (EBS)/distancia, TPMS, EBPMS, GNSS
• Grabación de vídeo (es necesario que la active el Cliente)
Categorías de Personas interesadas
El Responsable ha definido las siguientes categorías de Personas interesadas, de quienes el Encargado obtendrá, tratará y utilizará los Datos personales, según se definen más arriba, al amparo de este Contrato de tratamiento de datos:
• los empleados del Cliente;
• los contratistas del Cliente;
• el personal de los clientes, proveedores y subcontratistas del Cliente;
• cualquier otra persona que transmita datos a través de la Solución de gestión de flotas, lo que incluye a las personas que colaboren y se comuniquen con los usuarios finales del Cliente.
Retención de datos
El Encargado no conservará los Datos personales de forma que sea posible la identificación de las Personas interesadas por un tiempo superior al necesario para los fines para los que se realiza el tratamiento de los Datos personales por medio del FMS, a menos que así lo exijan o permitan las Leyes de protección de datos u otras normativas vigentes. Al hacer uso de los Servicios, los Clientes determinarán e indicarán expresamente al Encargado los periodos de retención, bien utilizando el periodo predeterminado del producto, bien, cuando proceda, un periodo razonable que el Cliente pueda determinar a través de un módulo de Privacidad de datos en las herramientas. Tras estos periodos de retención, el Encargado tiene la opción de eliminar o desidentificar los Datos personales. Antes de la finalización de este periodo, el Cliente exportará todos los datos necesarios a través de las herramientas. Durante al menos 6 meses después de su creación, el Encargado no está obligado a eliminar las copias de los Datos personales, que se conservan en copias de seguridad automatizadas generadas por el Encargado y que se mantendrán lo máximo posible para garantizar su continuidad. Dichas copias de seguridad seguirán sujetas a estos Términos hasta que sean destruidas. Las Partes reconocen y acuerdan que el Encargado puede desidentificar los Datos personales obtenidos, generados y/o almacenados como parte de la prestación de los Servicios, y seguir usando estos datos desidentificados con fines estadísticos, de análisis, de investigación y desarrollo, comerciales, de prueba o similares de conformidad con las Leyes de protección de datos.
5. Obligaciones del Encargado
Cuando el Encargado (actuando como Encargado) trate los Datos personales en nombre del Cliente (actuando como Responsable de los datos), este deberá:
a. Tratar o hacer tratar dichos Datos personales según las Leyes de protección de datos a las que esté obligado como Encargado de los datos.
b. Tratar, e indicar a cualquier persona que actúe bajo su autoridad que trate, los Datos personales en nombre del Responsable y de conformidad con sus instrucciones documentadas, salvo que lo exija la legislación de la Unión o la del Estado miembro de la UE a la que el Encargado esté sujeto. En tal caso, el Encargado informará al Responsable de ese requisito legal antes del tratamiento, a menos que dicha ley prohíba tal información por motivos importantes de interés público. Estos Términos se sumarán a las instrucciones documentadas del Responsable al Encargado.
Siguiendo las instrucciones del Responsable, el Encargado también corregirá, rectificará o bloqueará los Datos personales, concediendo acceso a ellos solo a personal debidamente formado.
c. Teniendo en cuenta la naturaleza del tratamiento y de la información disponible para el Encargado, prestar una asistencia comercialmente razonable al Responsable para ayudar a este último en el cumplimiento de las obligaciones en el marco de la Ley de protección de datos vigente, incluyendo la realización de cualquier evaluación necesaria sobre la repercusión en la privacidad.
d. Implementar las medidas técnicas y organizativas adecuadas que exija la Ley de protección de datos vigente para proteger los Datos personales contra destrucción accidental o ilegítima, o pérdida accidental, alteración, acceso no autorizado, divulgación o transferencia, uso indebido o cualquier otra forma ilegal de tratamiento, aplicando al menos las medidas de seguridad siguientes, según proceda:
i. seudonimización y codificación;
ii. medidas diseñadas para mantener la confidencialidad, integridad, disponibilidad y resiliencia continúas de los sistemas y servicios de tratamiento;
iii. medidas diseñadas para restablecer oportunamente la disponibilidad y el acceso a los Datos personales en caso de incidente físico o técnico;
iv. un proceso para probar, valorar y evaluar regularmente la efectividad de las medidas de seguridad técnicas y organizativas.
Según el Anexo 1, el Encargado documenta la implementación de las medidas técnicas y organizativas.
e. Poner a disposición del Responsable toda la información razonablemente necesaria para demostrar el cumplimiento de las obligaciones del Encargado para con la Ley de protección de datos vigente, así como permitir auditorías y colaborar con ellas, lo que incluye inspecciones realizadas por el Responsable u otro auditor designado por el Responsable. El
Encargado facilitará información según el presente apartado únicamente en la medida en que la información se refiera al tratamiento de datos personales por parte del Encargado en nombre del Responsable y dicha información obre en poder del Encargado y no infrinja la legislación vigente ni las obligaciones de confidencialidad o protecciones legales del Encargado, ni socave en modo alguno la seguridad o la integridad de sus sistemas o datos.
f. El derecho del Responsable a una auditoría quedará sujeto a notificar por escrito dicha auditoría al Encargado con al menos cuatro (4) semanas de antelación, y puede ejercerse no más de una vez al año, excepto en caso de que un regulador de protección de datos solicite la realización de dicha auditoría. Todas las auditorías se llevarán a cabo durante el horario laboral habitual, y estarán sujetas a: (i) una empresa auditora externa, acordada por ambas partes y contratada por cuenta exclusiva del Responsable; (ii) un plan y un alcance de la auditoría detallados por escrito y revisados y aprobados por el Encargado; y (iii) las políticas
de seguridad in situ del Encargado. Dichas auditorías tendrán lugar solo en la presencia de un representante designado del Encargado. El Responsable facilitará una copia del informe de auditoría al Encargado y esta se tratará como información confidencial del Encargado. De conformidad con el Acuerdo de servicios, todas las auditorías estarán sujetas al pago por parte del Responsable de todas las tasas y gastos del Encargado que estén vinculadas a dicha auditoría.
g. Con respecto al elemento (e) de arriba, notificar oportunamente al Responsable si opina que una instrucción recibida del Responsable infringe las Leyes de protección de datos.
h. Teniendo en cuenta la naturaleza del tratamiento y la información disponible para el mismo, ayudar razonablemente al Responsable con las medidas técnicas y organizativas oportunas, en lo razonablemente posible y hasta donde la ley vigente lo permita, para el cumplimiento de la obligación del Responsable de proporcionar información sobre la obtención, tratamiento o uso de los Datos personales a una Persona interesada, y responder a las solicitudes de ejercer los derechos de la Persona interesada. Cualquier solicitud de una Persona interesada realizada directamente al Encargado se dirigirá al Responsable. El Responsable será el único responsable de responder a dichas solicitudes.
i. Sin demoras indebidas, notificar al Responsable de las infracciones de seguridad de los Datos personales que afecten a los Datos personales tratados por el Encargado y, teniendo en cuenta la naturaleza del tratamiento y la información disponible para el mismo, ayudar al Responsable, en la medida de lo posible, a cumplir con sus obligaciones si se produce una infracción de seguridad de los Datos personales.
j. A elección del Responsable, eliminar o devolver todos los Datos personales al Responsable al final de la prestación de servicios relacionada con el tratamiento, y eliminar las copias existentes, salvo exigencia contraria de la Ley de la Unión o de uno de los Estados miembros. Las Partes reconocen y acuerdan que, si el Responsable no indica al Encargado en un plazo de [30 días] a partir de la finalización de la prestación de servicios que elimine o devuelva los Datos personales correspondientes, se considerará que el Responsable indica al Encargado que elimine o anonimice los Datos personales según las políticas y procedimientos del Encargado. Si el Responsable opta por devolver todos los Datos personales, el Responsable exportará los datos necesarios a través de las herramientas antes de la finalización de los Servicios.
k. Garantizar que las personas (por ejemplo, empleados) autorizadas a tratar los Datos personales han firmado un compromiso de confidencialidad o estén bajo una obligación reglamentaria de confidencialidad.
El Responsable se responsabilizará de pagar cualquier tasa o gasto del Encargado que surja de la prestación por parte del Encargado de cualquier ayuda al Responsable en el marco de estos Términos.
6. Tratamiento subordinado
a. En virtud de estos Términos y del Acuerdo de servicios, el Responsable otorga al Encargado una autorización general por escrito para valerse de los servicios de otro encargado para el tratamiento total o parcial de los datos en el marco de estos Términos.
b. Se acuerda que cualquier Encargado subordinado que figure en el apéndice 2 está expresamente autorizado.
c. El Encargado informará al Responsable de cualquier cambio previsto relativo a la adición o sustitución de otros encargados en su sitio web y a través del enlace mencionado en el apéndice 2.
d. Cuando el Encargado llegue a algún acuerdo o contemple que cualquiera de los Datos personales de los que se trata en estos Términos se transfieran para que los trate un Encargado subordinado, se aplicarán las condiciones siguientes:
i. El Encargado lo hará solamente a través de un acuerdo por escrito con el Encargado subordinado que imponga al Encargado subordinado esencialmente las mismas obligaciones que se imponen al Encargado en el marco de estos Términos, en particular la obligación de implementar medidas técnicas y organizativas adecuadas para que el tratamiento cumpla los requisitos correspondientes de las Leyes de protección de datos en vigor.
ii. Cuando se transfieran o vayan a transferirse Datos personales fuera del EEE a un país que no ofrezca un nivel adecuado de protección de datos, se establecerán Cláusulas contractuales tipo de la UE (en el módulo correspondiente) o cualquier otro mecanismo adecuado de transferencia de datos de conformidad con las Leyes de protección de datos en vigor.
iii. Si el Encargado subordinado no cumple las obligaciones de protección de datos recogidas en el citado acuerdo por escrito, el Encargado se considerará plenamente responsable ante el Responsable del desempeño de las obligaciones del Encargado subordinado, quedando sujeto a las limitaciones de responsabilidad acordadas en estos Términos.
7. Obligaciones del Responsable
a. El Responsable determina los propósitos y los medios del tratamiento de Datos personales por medio del FMS.
b. El Responsable declara, garantiza y acuerda que:
i. El Encargado tiene permiso para utilizar los Datos personales con el fin de tratarlos como se indique en estos Términos.
ii. Los Datos personales se han obtenido legalmente y se han tratado cumpliendo las Leyes de protección de datos.
iii. Se garantiza la conformidad con las Leyes de protección de datos vigentes cuando el Responsable transfiera los Datos personales al Encargado para cumplir estos Términos, y cuando este dé instrucciones al Encargado sobre el tratamiento de los Datos personales.
c. Las Partes reconocen y acuerdan que el Responsable tenga la responsabilidad exclusiva de avisar y obtener los oportunos consentimientos de personas en lo que
respecta al uso de los Servicios, en cumplimiento de la ley vigente.
d. El Responsable debe cerciorarse de que los datos se tratan de manera que la seguridad de los mismos quede garantizada, lo que incluye la protección contra el tratamiento no autorizado o ilegal y contra su pérdida accidental, destrucción o daños, utilizando los medios técnicos u organizativos oportunos.
e. El Responsable mantendrá un registro de las actividades de tratamiento de datos bajo su responsabilidad según el RGPD, en el cual debe estar cubierto el FMS.
f. El Responsable cooperará según lo solicite razonablemente el Encargado para verificar dicha conformidad del Responsable y sus usuarios, y notificará oportunamente al Encargado sin retrasos injustificados si en cualquier momento el Responsable tiene noticia de que se hayan infringido sus obligaciones de conformidad o de que ya no puedan cumplirse en el marco del presente acuerdo.
8. Cesión
El Responsable está conforme con que el Encargado pueda ceder sus obligaciones como Encargado a una empresa filial subsidiaria o tercero en caso de que venda o transfiera su negocio o activos total o parcialmente, lo que incluye fusiones, adquisiciones, reorganizaciones, disolución o liquidación.
9. Transferencias de datos
En caso de que los Datos personales se transfieran a un Cliente fuera del Espacio Económico Europeo, las Partes acuerdan que la transferencia transfronteriza de Datos personales del Encargado se rige por las Cláusulas contractuales tipo de la UE («CCT», en el módulo correspondiente), a menos que la transferencia quede cubierta por una decisión de adecuación de la Comisión Europea.
10. CCPA
En la medida en que el Encargado reciba cualquier Información personal del Consumidor sujeta a la CCPA en relación con el uso de DCS por parte del Cliente, las Partes reconocen y acuerdan que: (i) el Encargado actúa como Proveedor de servicios para el Cliente en el tratamiento de la Información personal obtenida a través de los Servicios; (ii) la Información personal se comunica al Encargado para los Propósitos comerciales especificados en el Acuerdo de servicios; (iii) el Encargado no venderá la Información personal ni retendrá, utilizará o divulgará la Información personal, a menos que lo permita o exija la legislación vigente, (a) para fines distintos de la prestación de los Servicios, o (b) fuera de la relación comercial directa entre Encargado y Cliente; o (iv) salvo que lo permita la legislación vigente, el Encargado no combinará la Información personal recibida del Cliente con Información personal que el Encargado reciba de otra persona o en nombre de esta, o que recopile por medio de su propia interacción con un Consumidor relacionado. Cada una de las Partes cumplirá sus correspondientes obligaciones en virtud de la CCPA en el desempeño de sus respectivas responsabilidades dentro el marco del Acuerdo de servicios, y notificará oportunamente a la otra Parte si llega a la conclusión de que ya no puede cumplir con las obligaciones que la CCPA le exige. Cada una de las Partes puede ejercer sus respectivos derechos, especificados en el Acuerdo de servicios o en estos Términos para: (i) tomar medidas comercialmente razonables para ayudar a garantizar
que la otra Parte utilice la Información personal acorde con las obligaciones que la CCPA le exige; y,
(ii) previa notificación por escrito, tomar medidas comercialmente razonables para detener y remediar el uso no autorizado de la Información personal. A efectos de esta sección, el término «CCPA» significará la Ley de Privacidad del Consumidor de California de 2018, modificada por la Ley de Derechos de Privacidad de California de 2020 (cuando entre en vigor); y los términos «Propósito comercial», «Consumidor», «Información personal»,
«vender» y «Proveedor de servicios» tendrán el significado que se les atribuye en la CCPA.
11. Responsabilidad
Las responsabilidades recíprocas respectivas de las Partes por infringir estos Términos, y su obligación de exención de responsabilidad recíproca por reclamaciones de terceros contra una de las Partes por incumplimiento contractual o no contractual de estos Términos o de las Leyes de protección de datos por la otra Parte, se regirán por los términos de responsabilidad y exención de responsabilidad establecidos en el Acuerdo de servicios entre el Encargado y el Cliente con respecto a los Servicios correspondientes. Además, el Cliente exime al Encargado del tratamiento de cualquier responsabilidad por daños directos o indirectos de los titulares de los datos que resulten de la infracción por parte del Cliente de estos Términos y condiciones o cuya causa haya sido el tratamiento por parte del Cliente de datos personales contraviniendo las leyes de protección de datos vigentes, a menos que el Cliente demuestre que no puede imputársele responsabilidad alguna por la circunstancia por la que el titular de los datos resultó perjudicado. El Cliente exime asimismo al Encargado del tratamiento de responsabilidad por daños reclamados por terceros contra el Encargado como resultado de la infracción por parte del Cliente de estos Términos y condiciones o cuya causa haya sido el tratamiento por parte del Cliente de datos personales contraviniendo las leyes de protección de datos vigentes. Lo mismo se aplica si se ha impuesto una multa administrativa al Encargado del tratamiento, en cuyo caso el alcance de la exención de responsabilidad dependerá de la parte de responsabilidad que le corresponda al Cliente con respecto a la infracción que la multa administrativa sanciona.
12. Ley aplicable y jurisdicción
Estos Términos se rigen por la ley que rija el Contrato de servicios (a menos que la elección de derecho no sea válida según la ley vigente del país donde esté establecido el Responsable correspondiente, en cuyo caso la elección de derecho será la xxx xxx xxxx en el que esté establecido el Responsable correspondiente).
La jurisdicción competente para cualquier disputa contractual o no contractual que surja de estos Términos, o en relación con los mismos, será la misma que se menciona en el Contrato de servicios. Este párrafo, sin embargo, no afecta a ninguna de las obligaciones ineludibles de las Partes recogidas en las Leyes de protección de datos vigentes.
Anexo 1: Medidas técnicas y operativas Este anexo va dirigido a clientes y socios comerciales, y establece las medidas técnicas y organizativas para proteger los Datos personales de accesos no autorizados, divulgación, alteración y pérdida, según las Leyes de protección de datos.
Este documento describe con mayor detalle las medidas técnicas y organizativas que ha implementado el Encargado para la protección de los datos.
CENTRO DE DATOS Y SEGURIDAD DE RED
Los centros de datos utilizados por el Encargado están certificados. Todos los servicios comerciales críticos tienen instalaciones de respaldo en función de los requisitos del servicio comercial.
La plataforma tiene capacidades de autorreparación y de autoescalado para garantizar que los objetivos de ANS se cumplan incluso en condiciones de estrés. La plataforma también utiliza principios de aislamiento y segregación para localizar problemas y evitar que afecten al sistema completo.
LAS INSTALACIONES DEL ENCARGADO
1. Control de acceso (edificio/oficinas/centro de datos) El Encargado ha implementado, entre otras, las siguientes medidas para impedir el acceso no autorizado a los sistemas de tratamiento de datos donde se tratan Datos personales:
● Los miembros del personal tienen una tarjeta o llave personal para acceder al edificio.
● Se impedirá que las personas sin autorización puedan acceder físicamente a las instalaciones, edificios x xxxxx donde se encuentren sistemas de tratamiento de datos en los que se traten o se utilicen Datos personales.
2. Control de acceso (sistemas)
El Encargado ha implementado, entre otras, las siguientes medidas para impedir que personas sin autorización utilicen los sistemas de tratamiento de datos:
● Los sistemas de información corporativos se supervisan de forma continua.
● Los miembros del personal tienen un terminal individual con identificación personal y contraseña.
● El acceso a los sistemas de producción críticos solo es posible para un número limitado de personal con formación especial.
● El acceso de administrador requiere autenticación de múltiples factores.
● Todos los accesos a la plataforma se auditan y supervisan completamente.
● Las autorizaciones se conceden siguiendo el principio del menor privilegio.
● El cierre de sesión automático está implementado por tiempo de inactividad.
● Desconexión automática de la ID del usuario cuando se introduzcan varias contraseñas equivocadas, con archivo de registro de sucesos (supervisión de los intentos de acceso).
● Todos los miembros del personal están sujetos a contratos de confidencialidad y no divulgación. Todo acceso a datos que no sean públicos se proporciona estrictamente según la necesidad de información y se supervisa. Se proporciona formación continua a los usuarios sobre la importancia de la
seguridad de los datos en el entorno corporativo.
● El Encargado tiene acceso por ámbito funcional de responsabilidad, es decir, el equipo de I+D, el equipo de alojamiento, el equipo de atención al cliente, etc. El acceso se basa en la función, con revisiones periódicas de pertenencia a grupos.
● Todas las claves (secretas) que utiliza la plataforma se almacenan de forma segura en una cámara de seguridad y se han establecido esquemas de rotación para las claves.
● Hay implantados sistemas para detectar accesos no autorizados en tiempo real que emiten alertas al sistema de gestión de incidencias. Los accesos no autorizados se pueden bloquear fácilmente en el sistema.
3. Control de acceso (datos)
El Encargado ha implementado, entre otras, las siguientes medidas para garantizar que los usuarios autorizados de un sistema de tratamiento de datos solo puedan acceder a los datos para los que han sido autorizados, y para impedir que se puedan leer sin autorización los Datos personales mientras están en uso, en movimiento o en reposo:
● Las conexiones de los clientes se validan mediante autenticación de múltiples factores.
● Portal de inicio de sesión central con acceso seguro a las aplicaciones del cliente con principio de «inicio de sesión único» que se puede combinar con autenticación de «dos factores».
● El sistema aplica los sistemas más modernos de autorización y autenticación para permitir el acceso seguro e impedir el no autorizado.
4. Control de transferencia
El Encargado ha implementado, entre otras, las siguientes medidas para garantizar que los Datos personales no se puedan leer, copiar ni modificar durante la transmisión electrónica o durante su transporte o almacenamiento en disco. Además, para controlar y determinar a qué organismos se permite la transferencia de Datos personales proporcionados por el equipo de comunicación de datos:
● Todas las interacciones del cliente por Internet se realizan sobre conexiones seguras SSL/TLS. La versión del protocolo se supervisa y cumple los requisitos de seguridad actualizados, proporcionados por la seguridad corporativa.
● Todas las conexiones con la base de datos son codificadas y no se permite el acceso directo a la base de datos (excepto a usuarios especiales) debido al área protegida privada.
● Las copias de seguridad y los datos en reposo están codificados. 5. Control de entrada
El Encargado ha implementado, entre otras, las siguientes medidas para garantizar que es posible asegurar, y por lo tanto controlar y determinar, si se han introducido, cambiado o eliminado Datos personales en los sistemas de tratamiento de datos, y quién lo ha hecho:
● Una política de autorización para la introducción de datos en la memoria, así como para la lectura, alteración y eliminación de los datos almacenados.
● Autenticación del personal autorizado.
● Medidas de protección para la introducción de datos en la memoria, así como para la lectura, alteración y eliminación de los datos almacenados.
● Utilización de códigos de usuario (contraseñas).
● Seguimiento de una política por la cual todo el personal del Encargado que tenga acceso a los Datos personales tratados para el Cliente restablecerá sus contraseñas como mínimo una vez cada 90 días.
● Las entradas a las instalaciones de tratamiento de datos (las salas que albergan el hardware informático y todo el equipo relacionado) se pueden cerrar con llave.
● Cierre de sesión automático de las ID de usuario que no se hayan utilizado por un periodo de tiempo sustancial.
6. Control de órdenes
El Encargado ha implementado, entre otras, las siguientes medidas para garantizar que los Datos personales que trata un encargado de los datos a petición del propietario de los datos, solo se traten según indique el propietario de los datos:
El propietario de los datos tiene derecho en todo momento a controlar la adecuada ejecución de todo el trabajo que encargue. El Encargado proporcionará al Cliente la información oportuna sobre el trabajo realizado.
7. Control de disponibilidad
El Encargado ha implementado, entre otras, las siguientes medidas para garantizar que los Datos personales estén protegidos contra pérdida o destrucción accidental: Véase la sección «Centro de datos».
8. Tratamiento separado
El Encargado ha implementado, entre otras, las siguientes medidas para garantizar que los datos que se obtengan para fines distintos se puedan tratar por separado:
● Patrones de arquitectura que se aplican crean y permiten el tratamiento separado para los distintos servicios corporativos.
● El acceso a los datos se separa a través de seguridad de la aplicación para los usuarios adecuados.
● Existen entornos separados para Desarrollo, Preparación y Producción.
● La red no permite conectividad este-oeste y se han puesto en práctica otras medidas de red para garantizar un tratamiento separado.
● Los entornos operativos y de prueba están separados.
9. Delegado de protección de datos
El Encargado ha designado un Delegado de protección de datos (DPD) según el RGPD. Esta persona garantizará la conformidad con el RGPD y otras Leyes de protección de datos. Xxxxxx sus preguntas al DPD en la dirección xxxxxxx.xxxxxxx@xx.xxx.
Anexo 2: Lista de Encargados subordinados
Puede consultar la lista actualizada de Encargados subordinados del tratamiento de datos utilizados por Encargado en el siguiente enlace: xxxxx://xx.xxx/xxxxx/xxxxxxxxxxxxx.