Acuerdo de Tratamiento de Datos (APD)
EL ABAJO FIRMANTE:
y
en lo sucesivo denominados conjuntamente Partes;
CONSIDERACIONES:
ACUERDAN LO SIGUIENTE:
Los términos escritos con mayúscula en este APD tienen los siguientes significados:
1.2 Violación de datos: una violación de las medidas de seguridad destinadas a proteger los Datos Personales contra la pérdida o cualquier forma de tratamiento ilícito, así como cualquier incidente o suceso en el que se produzca o pueda producirse la pérdida o el tratamiento ilícito de Datos Personales.
1.3 Acuerdo: el Acuerdo entre el Procesador y el Controlador en relación con la solución SAAS de ciberseguridad proporcionada por el Procesador, de la que se deriva el procesamiento de los Datos Personales.
1.4 Datos personales: cualquier información relativa a una persona física identificada o identificable. Una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea, o a uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de dicha persona física.
1.5 Subencargado del tratamiento: la persona física o jurídica que asiste a un Encargado del tratamiento en el tratamiento de Datos Personales por cuenta del Responsable del tratamiento.
1.6 Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre Datos Personales, ya sea por medios automatizados o no, tales como recoger, registrar, organizar, estructurar, almacenar, adaptar o alterar, recuperar, consultar, utilizar, divulgar mediante transmisión, difusión o cualquier otra forma de puesta a disposición, alinear o combinar, restringir, borrar o destruir.
1.7 Acuerdo de Tratamiento de Datos (APD): este acuerdo entre el Responsable del Tratamiento y el Encargado del Tratamiento relativo al tratamiento de datos personales, incluidas las consideraciones y apéndices asociados.
2.1 El presente APD entrará en vigor en la fecha en que las Partes firmen el Acuerdo.
2.2 El presente APD permanecerá en vigor mientras el Encargado del tratamiento trate Datos personales por cuenta del Responsable del tratamiento en virtud del Acuerdo.
3.1 Durante la ejecución del Acuerdo, el Responsable del tratamiento puede facilitar Datos personales al Encargado del tratamiento. En la Política de Privacidad se incluye una descripción general de las categorías de Datos Personales que pueden facilitarse al Encargado del Tratamiento.
3.2 El Responsable del Tratamiento determina la finalidad y los medios del tratamiento de los Datos Personales. Esta finalidad se registra en la Política de Privacidad.
3.3 El procesador procesa estos datos personales únicamente para la ejecución del acuerdo, esta DPA, y las instrucciones escritas dadas por el controlador. El Procesador solo procesará los Datos Personales para los fines descritos en la Política de Privacidad y no utilizará los Datos Personales para ningún otro fin ni para fines propios, a menos que así lo exija la ley.
3.4 Si una instrucción como la mencionada en el artículo 3.3, en opinión del encargado del tratamiento, entra en conflicto con una disposición legal sobre protección de datos, el encargado del tratamiento informará de ello al responsable del tratamiento antes del tratamiento, a menos que una disposición legal prohíba dicha notificación.
3.5 El Responsable del tratamiento concede al Encargado del tratamiento una autorización general para subcontratar el tratamiento de Datos personales a Subencargados del tratamiento, incluidos los Subencargados del tratamiento que figuran en el sitio web del Encargado del tratamiento.
3.6 Si el Procesador contrata a un Subprocesador nuevo o sustituto, el Procesador deberá:
(a) Actualizar la lista de subencargados del tratamiento disponible en el sitio web del encargado del tratamiento.
(b) Imponer sustancialmente las mismas condiciones de protección de datos a cualquier Subencargado del Tratamiento que contrate que las contenidas en el presente APD (incluidas las disposiciones sobre transferencia de datos, cuando proceda).
(c) Seguir siendo responsable ante el Responsable del tratamiento de cualquier infracción del presente APD causada por un acto, error u omisión de dicho Subencargado del tratamiento.
(d) Notificar al Controlador, si el Controlador está suscrito. Si el Controlador opta por ser notificado por escrito 14 días antes de que Guardey contrate a un Subprocesador nuevo o sustituto, el Controlador debe suscribirse a dichas notificaciones a través de este enlace.
3.7 El Responsable del tratamiento podrá oponerse a la designación por parte del Encargado del tratamiento de cualquier Subencargado nuevo o sustituto sin demora y por escrito dentro de los catorce (14) días siguientes a la recepción de la notificación de conformidad con el apartado 3.6(d) y por motivos razonables relacionados con la capacidad del Subencargado del tratamiento para cumplir la legislación aplicable en materia de protección de datos. En tal caso, las Partes discutirán de buena fe las preocupaciones del Responsable del tratamiento con vistas a alcanzar una resolución razonable desde el punto de vista comercial. Si las Partes no pueden llegar a dicha resolución, el Responsable del tratamiento tendrá derecho, a su entera discreción, a no designar al Subencargado en litigio o a permitir que el Responsable del tratamiento suspenda o rescinda el Pedido aplicable y/o el Acuerdo.
3.8 El encargado del tratamiento prestará la asistencia necesaria para cumplir las obligaciones establecidas en los artículos 32 a 36 del RGPD. En particular, el Procesador cooperará en la realización de las acciones necesarias en respuesta a las solicitudes de los Interesados en relación con el acceso, la rectificación, la restricción o la supresión de Datos Personales.
3.9 El Procesador almacenará y procesará los Datos Personales únicamente dentro de la Unión Europea, a menos que se acuerde lo contrario con el Controlador.
3.10 El Responsable del tratamiento garantiza que el tratamiento de los Datos personales, tal y como se ha indicado al Encargado del tratamiento, no infringe la normativa sobre protección de datos ni es ilícito. El Responsable del tratamiento exime al Encargado del tratamiento de todas las reclamaciones de terceros, incluidas las de las autoridades de control, relacionadas con este asunto.
3.11 Transferencias internacionales de datos:
(a) Si el tratamiento implica la transferencia de Datos Personales fuera de la UE/EER, el Procesador garantizará un nivel adecuado de protección de conformidad con el Capítulo V del GDPR.
(b) Para las transferencias a países sin decisión de adecuación, se utilizarán cláusulas contractuales tipo (CCT) u otro mecanismo de transferencia aprobado.
(c) El encargado del tratamiento notificará al responsable del tratamiento la existencia de subencargados del tratamiento fuera de la UE o del EEE y permitirá al responsable del tratamiento oponerse a dichas transferencias de conformidad con el apartado 3.7.
4.1 El encargado del tratamiento seguirá cumpliendo las disposiciones del presente APD tras la rescisión del contrato y del APD mientras conserve los datos personales del responsable del tratamiento.
5.1 Tras la rescisión del Contrato y del APD, todos los Datos Personales se devolverán al Responsable del Tratamiento (o a un tercero designado por el Responsable del Tratamiento) o se destruirán tan pronto como sea razonablemente posible a petición del Responsable del Tratamiento, a elección de éste.
6.1 El Encargado del Tratamiento aplicará las medidas técnicas y organizativas adecuadas para proteger los Datos Personales contra la pérdida o cualquier forma de tratamiento ilícito. Estas medidas garantizarán un nivel de seguridad adecuado al riesgo que presente el tratamiento y a la naturaleza de los Datos Personales que deban protegerse, teniendo en cuenta el estado de la técnica y los costes de aplicación. En la Política de Seguridad figura una lista detallada de estas medidas.
6.2 El encargado del tratamiento actualizará las medidas a que se refiere el artículo 6.1 si el responsable del tratamiento solicita dichas actualizaciones porque considera que es necesario para mantener un nivel adecuado de seguridad según lo descrito en el artículo 6.1. En tales casos, el encargado del tratamiento tendrá derecho a aumentar los precios acordados con el responsable del tratamiento para cubrir los costes en que incurra en relación con dichas actualizaciones.
7.1 Previa solicitud, el encargado del tratamiento facilitará copias de todas las certificaciones, resúmenes de informes de auditoría u otra documentación pertinente que posea, cuando el responsable del tratamiento lo requiera razonablemente para verificar el cumplimiento de la presente APD por parte del encargado del tratamiento.
7.2 While it is the parties’ intention ordinarily to rely on the Processor’s obligations set forth in Section 7.7.2 Si bien la intención de las partes es normalmente confiar en las obligaciones del encargado del tratamiento establecidas en la sección 7.1 para verificar el cumplimiento del presente Acuerdo por parte del encargado del tratamiento, tras un incidente de seguridad confirmado o cuando una autoridad de protección de datos lo requiera, el responsable del tratamiento podrá notificar por escrito al encargado del tratamiento con treinta (30) días de antelación solicitando que un tercero lleve a cabo una auditoría de las operaciones e instalaciones del encargado del tratamiento ("auditoría"); siempre que (i) cualquier auditoría se lleve a cabo a expensas del responsable del tratamiento; (ii) las partes acuerden mutuamente el alcance, el calendario y la duración de la auditoría; y (iii) la auditoría no afecte de forma injustificada a las operaciones habituales del encargado del tratamiento.
8.1 El responsable del tratamiento es responsable de evaluar la necesidad de notificar una violación de datos a la autoridad de control y/o a los interesados y de realizar la notificación.
8.2 El encargado del tratamiento informará de cualquier violación de datos o sospecha de la misma al responsable del tratamiento lo antes posible, pero en cualquier caso dentro de las 24 horas siguientes al descubrimiento de la violación. El encargado del tratamiento facilitará como mínimo la siguiente información:
(a) la (presunta) causa de la violación de datos;
(b) las consecuencias (conocidas o esperadas) de la violación de datos;
(c) datos de localización de la violación de datos;
(d) los destinatarios no autorizados de los Datos Personales y toda la información disponible sobre ellos;
(e) sugerencias de medidas para limitar los daños;
(f) cualquier otra información solicitada por el Responsable del Tratamiento.
8.3 El encargado del tratamiento cooperará con la solicitud del responsable del tratamiento de informar adecuadamente a los interesados o a las autoridades de control sobre la violación de datos y estará disponible para consultas con el responsable del tratamiento. 8.4 El Responsable del tratamiento y el Encargado del tratamiento mantendrán una estricta confidencialidad entre sí en relación con la violación de datos, cualquier temor a que se produzca una violación de datos y otros asuntos relacionados, salvo las obligaciones derivadas de la legislación nacional o de la UE.
9.1 Cada una de las partes será responsable e indemnizará a la otra parte por cualquier reclamación, acción, daño y pérdida que surja de o en relación con cualquier incumplimiento del presente APD, en la medida en que dicho incumplimiento sea atribuible a negligencia, dolo o incumplimiento de la legislación aplicable en materia de protección de datos por parte de dicha parte.
9.2 La responsabilidad del encargado del tratamiento por cualquier incumplimiento del presente APD se limitará exclusivamente a los daños directos y no excederá de las cantidades abonadas por el responsable del tratamiento al encargado del tratamiento en virtud del acuerdo durante los 12 meses anteriores al incumplimiento.
10.1 El encargado del tratamiento notificará sin demora al responsable del tratamiento si recibe una solicitud de un interesado para ejercer sus derechos en virtud del RGPD.
10.2 El encargado del tratamiento cooperará con el responsable del tratamiento y le prestará asistencia para que este pueda atender dichas solicitudes en los plazos estipulados por el GDPR.
11.1 El encargado del tratamiento designa a la siguiente persona de contacto para coordinar las obligaciones derivadas del presente APD:
Información de contacto del Procesador:
11.2 Todas las comunicaciones relativas a la presente DPA deberán dirigirse a la persona de contacto arriba indicada.
11.3 El responsable del tratamiento deberá facilitar su información de contacto a través de los canales de comunicación designados en el sitio web del responsable del tratamiento o poniéndose en contacto con el equipo de asistencia del responsable del tratamiento en los datos de contacto facilitados anteriormente.
12.1 GDPR del Reino Unido: Si y en la medida en que el tratamiento de Datos Personales en virtud de la presente DPA se refiera a interesados en el Reino Unido, se aplicarán las disposiciones del GDPR del Reino Unido. Las referencias al GDPR en este DPA también incluirán referencias al GDPR del Reino Unido, cuando corresponda.
12.2 CCPA / CPRA: Si y en la medida en que el tratamiento de Datos Personales en virtud del presente APD se refiera a interesados de California, se aplicarán las disposiciones de la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Derechos de Privacidad de California (CPRA). El procesador deberá:
(a) Notificar inmediatamente al Interventor cualquier solicitud de los consumidores en virtud de la CCPA/CPRA.
(b) Cooperar con el Interventor para garantizar que dichas solicitudes se tramitan a tiempo y de conformidad con la CCPA/CPRA.
(c) No "vender" Datos Personales según la definición de la CCPA/CPRA.
(d) Garantizar el cumplimiento de los requisitos de la CCPA/CPRA, incluida la transparencia y las notificaciones sobre los derechos de los consumidores.
13.1 Las desviaciones del presente APD sólo serán vinculantes si las Partes las acuerdan expresamente por escrito.
13.2 Las condiciones generales u otras condiciones generales o especiales del encargado del tratamiento no se aplican al presente APD y son expresamente rechazadas por el responsable del tratamiento.
13.3 El presente APD complementa el Acuerdo. En caso de conflicto entre las disposiciones del presente APD y el Acuerdo, prevalecerán las disposiciones del presente APD.
13.4 La presente DPA se rige por la legislación neerlandesa.
13.5 Los litigios entre las Partes que no puedan resolverse mediante consultas se someterán al tribunal holandés competente de La Haya.