<img height="1" width="1" src="https://www.facebook.com/tr?id=133206463822786&amp;ev=PageView &amp;noscript=1">

Acuerdo de tratamiento de datos

Este acuerdo de tratamiento de datos (“ATD”), se incorpora y está sujeto a los términos y condiciones del Acuerdo entre el Cliente (en adelante el “Cliente o el “Responsable del tratamiento”) y Captio (en adelante “Captio” o el “Proveedor”), respecto la contratación del producto Chrome River Invoices.
Todos los términos en mayúscula no definidos en este ATD tendrán los significados establecidos en el Acuerdo. Para evitar dudas, todas las referencias al "Acuerdo" incluirán el presente ATD y los términos y condiciones de contratación del Software Chrome River Invoices.

Cláusulas

PRIMERA.- OBJETO.

1.1.- El presente documento tiene por objeto regular la relación contractual con el PROVEEDOR y habilitar al PROVEEDOR, Encargado de Tratamiento, para tratar a cuenta del Cliente, Responsable de Tratamiento, los datos de carácter personal necesarios para prestar el servicio de software contratado (en adelante, el “Servicio”). Así como, establecer los requisitos y condiciones de seguridad y confidencialidad bajo los cuales el PROVEEDOR debe tratar los datos de carácter personal de los que es responsable el Cliente, pues corresponde a estos últimos decidir sobre la finalidad y usos de estos datos.

1.2.- En particular, los tratamientos de datos personales responsabilidad del Cliente que son objeto de este ATD se detallan en la presente cláusula (en adelante, los “Datos Personales”).

Datos personales:

  • Identificación de los proveedores que prestan servicios al Cliente ( CIF, identificación y nombre social, nombre comercial).
  • Identificación de los datos de la empresa Cliente.
  • Identificación de los usuarios que utilizan el servicio: nombre, apellidos y/o DNI, correo electrónico corporativo, puesto de trabajo.
  • Información financiera del Cliente respecto a los datos que afectan a las facturas digitalizadas.

En este sentido, el tratamiento del PROVEEDOR respecto a dichos Datos Personales y consistirán en:

x Recogida x Supresión   Limitacuón
  Estructuración   Comunicación   Destrucción
x Conservación   Modificación   Organización
x Consulta   Extracción   Adaptación
x Difusión (en caso inspección) x Transmisión   Utilización
  Cotejo   Interconexión   Otro [*]

 

NOTA:

  • Registro o recogida: inscribir o grabar la información en algún tipo de sistema o dispositivo, automatizado o no automatizado, para su posterior tratamiento.
  • Estructuración u Organización: ordenar y estructurar la información para facilitar su tratamiento
  • Modificación o adaptación: alterar o cambiar la información.
  • Conservación: mantener la información durante un determinado periodo de tiempo
  • Extracción: obtener la información de un sistema o dispositivo original para su envío o traspaso a otro sistema o dispositivo.
  • Consulta: buscar los datos sobre el sistema o dispositivo en el que se encuentra registrada.
  • Difusión o cualquier otra forma de habilitación de acceso, cotejo, o interconexión, limitación: poner a disposición de otros usuarios o destinatarios la información registrada en un sistema o dispositivo
  • Supresión: eliminar, hacer desaparecer la información en el sistema o dispositivo en el que esté originalmente registrada.
  • Destrucción: inutilizar un soporte físico para evitar el acceso a la información
  • Comunicación: enviar los datos a otro destinatario desde su sistema o dispositivo origen a través de medios electrónicos

1.3.- Los Servicios, serán analizados de forma periódica, pudiendo introducir de mutuo acuerdo entre las partes aquellos cambios, inclusiones o supresiones que puedan considerarse útiles o necesarios para la adecuada prestación de los Servicios en aras de mejorar las relaciones y eficiencia de las Partes.

1.4.- El PROVEEDOR podrá alterar, en cualquier momento, los medios tanto personales como materiales utilizados para la prestación de los Servicios, siempre que (i) haya obtenido el consentimiento previo y por escrito del Responsable del Tratamiento y (ii) ello no le impida cumplir con las obligaciones que se mencionan en este documento.

1.5.- Ninguno de los servicios derivados del Acuerdo se entiende prestado con carácter exclusivo. En consecuencia, el PROVEEDOR podrá ofrecer el mismo tipo de servicios a terceros distintos del Cliente, siempre que ello no le impida el correcto cumplimiento de las obligaciones contraídas en virtud del Acuerdo.

SEGUNDA.- DURACIÓN Y VIGENCIA DEL CONTRATO.

2.1.- Este ATD tiene plena eficacia y validez, entrando en vigor desde el día de su aceptación, extinguiéndose a partir del momento en que el PROVEEDOR deje de tratar por cuenta del Cliente los Datos Personales.

2.2.- En el caso de que la naturaleza de las obligaciones presentes en este documento sea de naturaleza indeterminada o simplemente más duraderas, seguirán en vigor aunque la vigencia del Acuerdo haya finalizado a otros efectos.

TERCERA.- OBLIGACIONES DE LAS PARTES.

3.1.- El Cliente cumplirá adecuadamente, y en todo momento, con las disposiciones contenidas en el RGPD, así como en aquella normativa (nacional o supranacional) que pudiere ser de aplicación en cada momento. En particular, el Responsable del Tratamiento se obliga a:

  • Entregar al PROVEEDOR los Datos Personales e informar al PROVEEDOR de cualquier variación en los mismos que pueda afectar a su tratamiento; y
  • Informar previamente del tratamiento que se realizará por parte del PROVEEDOR, a las personas titulares a quienes vengan referidos sus datos. Así como solicitar, en su caso, el consentimiento pertinente a las mismas;
  • Cuando sea probable que una violación de seguridad de datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas de las que el Cliente es el Responsable del Tratamiento, deberá comunicar a los interesados sin dilación indebida dicha violación.

3.2.- El PROVEEDOR cumplirá adecuadamente, y en todo momento, con las disposiciones contenidas en el RGPD, así como en aquella normativa (nacional o supranacional) que pudiere ser de aplicación en cada momento. En particular, el PROVEEDOR se obliga a:

  • Utilizar los Datos Personales, o aquellos que pueda recoger por cuenta del Cliente, sólo para la finalidad objeto del Acuerdo no pudiendo, en ningún caso, utilizar dichos Datos Personales para propios y/o distintos fines;

  • Tratar los Datos Personales únicamente siguiendo instrucciones documentadas el Cliente y, en caso de considerar que alguna instrucción no se ajusta al RGPD, a ponerlo de inmediato en conocimiento del Responsable del Tratamiento para que éste pueda adoptar las medidas que considere oportunas;

  • Cuando así sea exigido por el RGPD, llevar un registro documentado de todas las categorías de actividades de tratamiento efectuadas por cuenta del Cliente en el marco del Acuerdo;

  • No comunicar ni dar acceso a los Datos Personales a terceras personas, salvo que cuente con la autorización expresa y por escrito del Cliente para aquellos supuestos legalmente admisibles;

  • Garantizar que las personas autorizadas para tratar Datos Personales se hayan comprometido a respetar la confidencialidad en términos equivalentes a los establecidos en este documento ;

  • Adoptar todas las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo de los Datos Personales de conformidad con lo previsto en el artículo 32 del RGPD y, en particular, pero sin ánimo limitativo, las siguientes medidas:
    • Medidas de seudonimización y el cifrado de datos personales;
    • Medidas que garanticen la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
    • Medidas que permitan restaurar la disponibilidad y el acceso a los Datos Personales de forma rápida, en caso de incidente físico o técnico;
    • Medidas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
    • Medidas que permitan verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento;
  • Respetar las condiciones indicadas en la cláusula 5 siguiente en relación a la subcontratación;
  • Asistir al Responsable del Tratamiento, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que estos puedan cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados, esto es, los derechos de transparencia, información, acceso, rectificación y supresión (derecho al olvido), limitación del tratamiento, portabilidad, oposición o a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles), entre otros que se especifican en el Capítulo III del RGPD. Si el PROVEEDOR recibe una solicitud para el ejercicio de los derechos especificados en el Capítulo III del RGPD relativa al tratamiento de datos del Acuerdo, deberá comunicárselo sin demora al Cliente a través del correo electrónico proporcionado, y en un plazo máximo de 24 horas laborables;

  • Colaborar, cooperar y ayudar activamente al Cliente en el cumplimiento de las obligaciones establecidas en los artículos 32 (seguridad del tratamiento), 33 (notificación de una violación de la seguridad de los datos personales a la Autoridad de Control), 34 (comunicación de una violación de la seguridad de los datos personales al interesado), 35 (evaluación de impacto relativa a la protección de datos) y 36 (consulta previa) del RGPD, todo ello teniendo en cuenta la naturaleza del tratamiento y la información a disposición del PROVEEDOR;
  • Comunicar sin dilación indebida al Responsable del tratamiento, las violaciones de la seguridad de los datos personales de las que tenga conocimiento . Comunicación que tendrá el siguiente contenido mínimo:
    • Descripción de la naturaleza de la violación de la seguridad.
    • Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
    • Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
    • Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
  • Suprimir todos los datos personales en el plazo de 30 días, una vez finalice la realización de los servicios contratadas por el Acuerdo, suprimiendo las copias existentes a menos que se requiera la conservación (en todo caso aplicando las medidas de seguridad que resulten pertinentes de conformidad al RGPD y demás normativa aplicable) de los datos personales en virtud del Derecho de la Unión o de los Estados miembros.
  • Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar los Datos Personales.

En el supuesto que las obligaciones de asistencia contenidas en los apartados anteriores, precisen la realización de auditorías externas o internas, o exijan una dedicación de recursos superior a la utilizada en el cumplimiento del presente ATD, el PROVEEDOR se reserva el derecho de trasladar al Cliente los sobrecostes razonables y motivados que dicho incremento de recursos le suponga.

CUARTA.- DEBER DE INFORMACIÓN.

4.1.- Con el objeto de que el PROVEEDOR pueda desarrollar satisfactoriamente la actividad que le ha sido encomendada, el Cliente deberá poner a disposición de aquél todos los datos, información y documentación que sea necesaria para que el PROVEEDOR pueda desarrollar los servicios objeto del Acuerdo con la calidad y excelencia exigible.

QUINTA.- SUBCONTRATACIÓN.

5.1.- El PROVEEDOR puede subcontratar la prestación de todos o parte de los Servicios descritos en el Acuerdo a sus proveedores o sus subcontratistas. Los sub-encargados actualmente contratados por Captio y autorizados por el Cliente están disponibles aquí. Captio notificará al Cliente si añade o elimina a cualquier sub-encargado al menos con 7 días de antelación a cualquier cambio si el Cliente se inscribe para recibir dichas notificaciones a través del siguiente enlace.

5.2.- El subcontratista también tendrá la consideración de encargado del tratamiento, en los mismos términos que el Encargado del Tratamiento, el Proveedor. En este sentido, el Proveedor se obliga a suscribir con el tercero subcontratado un acuerdo de confidencialidad y de encargo de tratamiento de datos mediante el cual el subcontratista se obligue a cumplir con las obligaciones de ATD , en tanto que encargado del tratamiento, así como a seguir las instrucciones del Cliente en relación al tratamiento de los Datos Personales.

5.3- En todo caso, el PROVEEDOR responderá frente al Cliente de las actuaciones y omisiones del subcontratista.

SEXTA.- TRANSFERENCIA INTERNACIONAL

6.1.- El Cliente reconoce y acepta que el PROVEEDOR, sus filiales, los servicios auxiliares contratados, o en su caso los subcontratistas del mismo, bajo las instrucciones dispuestas por parte del PROVEEDOR y conforme al correspondiente contrato de encargado del tratamiento, y a los únicos efectos de que Captio pueda prestar los servicios contratados o solicitados por el Cliente, se puedan transmitir, almacenar y procesar datos fuera del Espacio Económico Europeo a razón de la prestación de los servicios contratados.

En este supuesto, si la información se transfiere a países que no brindan el mismo nivel de protección, o en cualquier caso un nivel adecuado de protección de datos personales sobre la base de una decisión de adecuación del art 45 del RGPD, Captio se asegurará que dicha transferencia de datos garantiza la adecuación del tratamiento mediante la adopción de cláusulas contractuales tipo aprobadas por la Comisión Europea ( art. 46 RGPD).


6.2.-
Asimismo, y en el mismo sentido del apartado anterior, Captio podrá comunicar datos a otras entidades del mismo grupo empresarial “ Grupo Emburse”; en este caso, por favor tenga en cuenta de que existen sociedades del mismo grupo ubicadas en países terceros sobre los que no brindan el mismo nivel de protección que la normativa Europea de protección de datos, en dichos casos los datos serán transferidos garantizando la adecuación del tratamiento mediante la firma de cláusulas contractuales específcias ( art. 46 del RGPD).

SÉPTIMA.- RESPONSABILIDAD.

7.1.- El PROVEEDOR es el responsable exclusivo, con total indemnidad para el Cliente, de la correcta ejecución de los servicios objeto del Acuerdo. Por consiguiente, en caso de incumplimiento por su parte, el PROVEEDOR asume la total responsabilidad de todos los daños directos, que pueda causar al Cliente en el marco de la ejecución del Acuerdo.