<img height="1" width="1" src="https://www.facebook.com/tr?id=133206463822786&amp;ev=PageView &amp;noscript=1">

Anexo de tratamiento de daos DPA

Cláusulas

PRIMERA.- OBJETO.

1.1.- El presente Contrato tiene por objeto regular la presente relación contractual con el PROVEEDOR y habilitar al PROVEEDOR, Encargado de Tratamiento, para tratar a cuenta del Cliente, Responsable de Tratamiento, los datos de carácter personal necesarios para prestar el servicio de software contratado (en adelante, el “Servicio”). Así como, establecer los requisitos y condiciones de seguridad y confidencialidad bajo los cuales el PROVEEDOR debe tratar los datos de carácter personal de los que es responsable el Cliente, pues corresponde a estos últimos decidir sobre la finalidad y usos de estos datos.

1.2.- En particular, los tratamientos de datos personales responsabilidad del Cliente que son objeto de este Contrato se detallan en el Anexo I (en adelante, los “Datos Personales”). En este sentido, el tratamiento del PROVEEDOR respecto a dichos Datos Personales y consistirán en:

x Recogida x Supresión   Limitacuón
  Estructuración   Comunicación   Destrucción
x Conservación   Modificación   Organización
x Consulta   Extracción   Adaptación
x Difusión (en caso inspección)   Transmisión   Utilización
  Cotejo   Interconexión   Otro [*]

 

NOTA

  • Registro o recogida: inscribir o grabar la información en algún tipo de sistema o dispositivo, automatizado o no automatizado, para su posterior tratamiento.
  • Estructuración u Organización: ordenar y estructurar la información para facilitar su tratamiento
  • Modificación o adaptación: alterar o cambiar la información.
  • Conservación: mantener la información durante un determinado periodo de tiempo
  • Extracción: obtener la información de un sistema o dispositivo original para su envío o traspaso a otro sistema o dispositivo.
  • Consulta: buscar los datos sobre el sistema o dispositivo en el que se encuentra registrada.
  • Difusión o cualquier otra forma de habilitación de acceso, cotejo, o interconexión, limitación: poner a disposición de otros usuarios o destinatarios la información registrada en un sistema o dispositivo
  • Supresión: eliminar, hacer desaparecer la información en el sistema o dispositivo en el que esté originalmente registrada.
  • Destrucción: inutilizar un soporte físico para evitar el acceso a la información
  • Comunicación: enviar los datos a otro destinatario desde su sistema o dispositivo origen a través de medios electrónicos

1.3.- Los Servicios, serán analizados de forma periódica, pudiendo introducir de mutuo acuerdo entre las partes aquellos cambios, inclusiones o supresiones que puedan considerarse útiles o necesarios para la adecuada prestación de los Servicios en aras de mejorar las relaciones y eficiencia de las Partes.

1.4.- El PROVEEDOR podrá alterar, en cualquier momento, los medios tanto personales como materiales utilizados para la prestación de los Servicios, siempre que (i) haya obtenido el consentimiento previo y por escrito del Responsable del Tratamiento y (ii) ello no le impida cumplir con las obligaciones que se mencionan en este Contrato.

1.5.- Ninguno de los servicios derivados del presente Contrato se entiende prestado con carácter exclusivo. En consecuencia, el PROVEEDOR podrá ofrecer el mismo tipo de servicios a terceros distintos del Cliente, siempre que ello no le impida el correcto cumplimiento de las obligaciones contraídas en virtud del presente Contrato.

SEGUNDA.- DURACIÓN Y VIGENCIA DEL CONTRATO.

2.1.- Este Contrato tiene plena eficacia y validez, entrando en vigor desde el día de su firma, extinguiéndose a partir del momento en que el PROVEEDOR deje de tratar por cuenta del Cliente los Datos Personales.

2.2.- En el caso de que la naturaleza de las obligaciones presentes en este Contrato sean de naturaleza indeterminada o simplemente más duraderas, seguirán en vigor aunque la vigencia del Contrato haya finalizado a otros efectos.

TERCERA.- OBLIGACIONES DE LAS PARTES.

3.1.- El Cliente cumplirá adecuadamente, y en todo momento, con las disposiciones contenidas en el RGPD, así como en aquella normativa (nacional o supranacional) que pudiere ser de aplicación en cada momento. En particular, el Responsable del Tratamiento se obliga a:

  • Entregar al PROVEEDOR los Datos Personales e informar al PROVEEDOR de cualquier variación en los mismos que pueda afectar a su tratamiento; y
  • Informar previamente del tratamiento que se realizará por parte del PROVEEDOR, a las personas titulares a quienes vengan referidos sus datos. Así como solicitar, en su caso, el consentimiento pertinente a las mismas;
  • Cuando sea probable que una violación de seguridad de datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas de las que el Cliente es el Responsable del Tratamiento, deberá comunicar a los interesados sin dilación indebida dicha violación.

3.2.-El PROVEEDOR cumplirá adecuadamente, y en todo momento, con las disposiciones contenidas en el RGPD, así como en aquella normativa (nacional o supranacional) que pudiere ser de aplicación en cada momento. En particular, el PROVEEDOR se obliga a:

  • Utilizar los Datos Personales, o aquellos que pueda recoger por cuenta del Cliente, sólo para la finalidad objeto de este Contrato no pudiendo, en ningún caso, utilizar dichos Datos Personales para propios y/o distintos fines;
  • Tratar los Datos Personales únicamente siguiendo instrucciones documentadas el Cliente y, en caso de considerar que alguna instrucción no se ajusta al RGPD, a ponerlo de inmediato en conocimiento del Responsable del Tratamiento para que éste pueda adoptar las medidas que considere oportunas;
  • Cuando así sea exigido por el RGPD, llevar un registro documentado de todas las categorías de actividades de tratamiento efectuadas por cuenta del Cliente en el marco de este Contrato;
  • No comunicar ni dar acceso a los Datos Personales a terceras personas, salvo que cuente con la autorización expresa y por escrito del Cliente para aquellos supuestos legalmente admisibles;
  • Garantizar que las personas autorizadas para tratar Datos Personales se hayan comprometido a respetar la confidencialidad en términos equivalentes a los establecidos en este Contrato;
  • Adoptar todas las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo de los Datos Personales de conformidad con lo previsto en el artículo 32 del RGPD y, en particular, pero sin ánimo limitativo, las siguientes medidas:
    • Medidas de seudonimización y el cifrado de datos personales;
    • Medidas que garanticen la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
    • Medidas que permitan restaurar la disponibilidad y el acceso a los Datos Personales de forma rápida, en caso de incidente físico o técnico;
    • Medidas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
    • Medidas que permitan verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento; 
  • Respetar las condiciones indicadas en la cláusula 5 siguiente en relación a la subcontratación;
  • Asistir al Responsable del Tratamiento, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que estos puedan cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados, esto es, los derechos de transparencia, información, acceso, rectificación y supresión (derecho al olvido), limitación del tratamiento, portabilidad, oposición o a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles), entre otros que se especifican en el Capítulo III del RGPD. Si el PROVEEDOR recibe una solicitud para el ejercicio de los derechos especificados en el Capítulo III del RGPD relativa al tratamiento de datos de este Contrato, deberá comunicárselo sin demora al Cliente a través del correo electrónico proporcionado, y en un plazo máximo de 24 horas laborables;
  • Colaborar, cooperar y ayudar activamente al Cliente en el cumplimiento de las obligaciones establecidas en los artículos 32 (seguridad del tratamiento), 33 (notificación de una violación de la seguridad de los datos personales a la Autoridad de Control), 34 (comunicación de una violación de la seguridad de los datos personales al interesado), 35 (evaluación de impacto relativa a la protección de datos) y 36 (consulta previa) del RGPD, todo ello teniendo en cuenta la naturaleza del tratamiento y la información a disposición del PROVEEDOR;
  • Comunicar sin dilación indebida, las violaciones de la seguridad de los datos al Responsable del Tratamiento de Datos, cuando sea probable que la violación suponga un alto riesgo para los derechos y libertades de las personas físicas de las que el Cliente es el Responsable del Tratamiento y que tendrá el siguiente contenido mínimo:
    • Descripción de la naturaleza de la violación de la seguridad.
    • Nombre y datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.
    • Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
    • Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
  • Suprimir todos los datos personales en el plazo de 30 días, una vez finalice la realización de los servicios referida en las Manifestaciones de este Contrato, suprimiendo las copias existentes a menos que se requiera la conservación (en todo caso aplicando las medidas de seguridad que resulten pertinentes de conformidad al RGPD y demás normativa aplicable) de los datos personales en virtud del Derecho de la Unión o de los Estados miembros.
  • Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar los Datos Personales.

En el supuesto que las obligaciones de asistencia contenidas en los apartados anteriores, precisen la realización de auditorías externas o internas, o exijan una dedicación de recursos superior a la utilizada en el cumplimiento del presente contrato, el PROVEEDOR se reserva el derecho de trasladar al Cliente los sobrecostes razonables y motivados que dicho incremento de recursos le suponga.

CUARTA.- DEBER DE INFORMACIÓN.

4.1.- Con el objeto de que el PROVEEDOR pueda desarrollar satisfactoriamente la actividad que le ha sido encomendada, el Cliente deberán poner a disposición de aquél todos los datos, información y documentación que sea necesaria para que el PROVEEDOR pueda desarrollar los servicios objeto del presente Contrato con la calidad y excelencia exigible.

QUINTA.- SUBCONTRATACIÓN.

5.1.- El PROVEEDOR no podrá subcontratar total o parcialmente ninguno de los Servicios ni Tratamientos objeto del presente Contrato, salvo aquellos servicios auxiliares que resulten necesarios para el normal funcionamiento de los servicios del Encargado del Tratamiento. En tal caso, previa solicitud del Cliente, el PROVEEDOR le facilitará una lista de tales servicios auxiliares, junto con una breve descripción de estos y de los terceros que los prestan.

5.2.- Si el PROVEEDOR considerase necesario subcontratar total o parcialmente alguno de los Tratamientos objeto del presente Contrato, el PROVEEDOR deberá comunicar tal circunstancia previamente, por escrito al Cliente y con una antelación mínima de siete (7) días , indicando los tratamientos que se pretenden subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. El PROVEEDOR podrá llevar a cabo la subcontratación en los mismos términos expresados en la citada comunicación en caso de que el Responsable de los Datos no haya manifestado por escrito su oposición a la misma en el plazo de siete (7) días.

5.3 El subcontratista también tendrá la consideración de encargado del tratamiento, en los mismos términos que el Encargado del Tratamiento, el Proveedor. En este sentido, el Proveedor se obliga a suscribir con el tercero subcontratado un acuerdo de confidencialidad y de encargo de tratamiento de datos mediante el cual el subcontratista se obligue a cumplir con las obligaciones de este Contrato, en tanto que encargado del tratamiento, así como a seguir las instrucciones del Cliente en relación al tratamiento de los Datos Personales.

5.4.- En todo caso, el PROVEEDOR responderá frente al Cliente de las actuaciones y omisiones del subcontratista.

SEXTA.- TRANSFERENCIA INTERNACIONAL

El Cliente reconoce y acepta que el PROVEEDOR, los servicios auxiliares contratados, o en su caso los subcontratistas del mismo, bajo las instrucciones dispuestas por parte del PROVEEDOR y conforme al correspondiente contrato de encargado del tratamiento, y a los únicos efectos de que Captio pueda prestar los servicios contratados o solicitados por el Cliente, se puedan transmitir, almacenar y procesar datos fuera del Espació Económico Europeo a razón de la prestación de los servicios contratados.

En este supuesto, el Proveedor se asegurará que toda transferencia de datos, ofrezca un nivel de protección adecuado, mediante la adopción de cláusulas contractuales tipo para las transferencias de datos aprobadas por la Comisión Europea ( art. 46 RGPD), documentándose todas las garantías de conformidad con el artículo 30, apartado 2, del RGPD.

El Proveedor procederá a la facilitación de la lista de transferencias internacionales a solicitud del Cliente.

SÉPTIMA.- RESPONSABILIDAD.

7.1.- El PROVEEDOR es el responsable exclusivo, con total indemnidad para el Cliente, de la correcta ejecución de los servicios objeto del presente Contrato. Por consiguiente, en caso de incumplimiento por su parte, el PROVEEDOR asume la total responsabilidad de todos los daños directos, que pueda causar al Cliente en el marco de la ejecución del presente Contrato.

7.2.- Los presentes deberes y obligaciones dispuestas en el presente Contrato serán de aplicación exclusivamente para el PROVEEDOR, para aquellos servicios que realiza directamente el PROVEEDOR, en virtud del Contrato. Si el Cliente han firmado el correspondiente Contrato de adquisición de licencia de uso del Software con un Partner Autorizado de Captio y dicho Contrato incluye la prestación de Servicios y/ o funcionalidades adicionales a prestar por parte del Partner Autorizado al Cliente, en el caso de que estos Servicios adicionales requiriesen tratamiento de datos personales del cliente, el Cliente deberá firmar un acuerdo de procesamiento de Datos independiente con dicho Partner Autorizado que incluya las actividades de tratamiento de datos propias de dichos Servicios adicionales. No siendo válida ni jurídicamente vinculante el presente Acuerdo para el tratamiento de dichos datos.

OCTAVA.- PROTECCIÓN DE DATOS Y CONFIDENCIALIDAD.

8.1.- El PROVEEDOR se compromete a cumplir con la obligación de guardar la debida confidencialidad y secreto sobre los hechos, datos personales, informaciones, conocimientos, documentos, y otros elementos a los que tengan acceso con motivo de la prestación del servicio convenido sin que pueda conservarse copia o utilizarlos para cualquier finalidad distinta a las expresamente recogidas en este Contrato.

8.2.- Asimismo, el PROVEEDOR se compromete a que la información confidencial únicamente esté disponible para aquellas personas físicas o jurídicas que necesiten la información para el desarrollo de tareas para las que el uso de esta información sea estrictamente necesario. A este respecto, el PROVEEDOR advertirá a dichas personas físicas o jurídicas de sus obligaciones respecto a la confidencialidad, velando por el cumplimiento de las mismas.

8.3.- Estas obligaciones de confidencialidad subsistirán aún después de la finalización de este Contrato.

NOVENA.- FIRMANTES

9.1.- Las Partes tratarán los datos de carácter personal referentes a las personas firmantes de este Acuerdo (los “Representantes”) sobre la base de su interés legítimo, y con la única finalidad de mantener el contacto con la otra Parte para el mantenimiento, desarrollo, ejecución y control de la relación contractual.

9.2.- Las Partes tratarán los datos por el tiempo que dure la presente relación contractual, sin perjuicio de la posibilidad de conservarlos, debidamente bloqueados, una vez finalizada la misma, por el plazo de tiempo máximo de diez años en cumplimiento de la normativa de prevención de blanqueo de capitales. Cumplido dicho plazo se procederá a la destrucción de la información.

9.3.- Los Representantes podrán ejercitar en cualquier momento sus derechos de acceso, rectificación, supresión, limitación al tratamiento y oposición dirigiéndose a la Parte que trata los datos en la dirección señalada en el encabezamiento de este Acuerdo. Además, también podrán dirigirse a la Agencia Española de Protección de Datos (www.aepd.es) o a la autoridad competente para reclamar sus derechos.

9.4.-Las Partes se comprometen a facilitar la información contenida en la presente cláusula a todos los empleados o personas de contacto de su empresa cuyos datos personales vayan a ser facilitados a la otra Parte en el marco de este Acuerdo.

DÉCIMA.- LEY APLICABLE Y JURISDICCIÓN.

10.1.- El presente Contrato se regirá e interpretará de conformidad con lo dispuesto en la legislación española. En el caso de que alguna de las disposiciones del presente Contrato sea declarada ineficaz, sea esta ineficacia originaria o sobrevenida, el resto del Contrato será válido. La cláusula declarada ineficaz será sustituida por otra que las Partes decidan de mutuo acuerdo y por escrito, y que desde el punto de vista de los derechos u obligaciones que genere para ellas tenga una significación similar que aquella a la que sustituye.

10.2.- Las Partes convienen someterse expresa y voluntariamente, para dirimir cualquier divergencia que pudiera surgir en la interpretación o cumplimiento de este Contrato, a los Juzgados y Tribunales de la ciudad de Barcelona con renuncia expresa a cualquier otro fuero propio que pudiera corresponderles.