Protección de datos

El presente anexo de protección de datos, en adelante “DPA”, establece las condiciones con respecto al tratamiento de datos personales que realiza VELOXX DIGITAL S.L., en adelante “VELOXX”, “el Encargado” y/o “el Encargado del Tratamiento” en nombre del Cliente y forma parte inseparable del Contrato Principal de servicios, Acuerdo de Confidencialidad o Propuesta de Servicios, en adelante el “Contrato”, establecido entre VELOXX y el Cliente identificado en cualquiera de ellos.

En el caso de conflicto entre este Anexo y el Contrato prevalecerá lo establecido en este DPA en relación al tratamiento de datos personales.

Ambas partes afirman que, para la prestación de los Servicios, es necesario el acceso a datos personales responsabilidad del Cliente y que ambas partes cumplirán con la Normativa de protección de datos que les sea aplicable.

Al objeto de dar cumplimiento a lo dispuesto en el Reglamento (UE) 2016/679, de 27 de Abril, (en adelante RGPD) o la Normativa de Protección de Datos que le sea aplicable a cualquiera de las partes, ambas partes están interesadas en suscribir este DPA, el cual formalizan de común acuerdo, sobre la base de las siguientes cláusulas:

1. DEFINICIONES

Los términos en mayúsculas que se utilizan, pero no se definen en este DPA o en la Normativa de protección de datos aplicable, tendrán el significado que se les asigna en el RGPD o en el Contrato:

2. OBJETO

3. ROLES Y RESPONSABILIDADES

El Cliente y Veloxx convienen que el Cliente es el Responsable del Tratamiento y que Veloxx es el Encargado del Tratamiento, excepto en aquellos casos en los que el Cliente actúe por cuenta de un tercero como encargado del tratamiento, en cuyo caso Veloxx actuará como sub-encargado del tratamiento. En ese caso, el Cliente será considerado Encargado del Tratamiento y el tercero que le ha autorizado para subcontratar a Veloxx será considerado Responsable del Tratamiento. Siendo el Cliente el que se obligue a cumplir con las responsabilidades que en este DPA se le asignan al Responsable.

4. TRATAMIENTOS E INFORMACIÓN PERSONAL

4.1 El tratamiento de los datos personales por parte del Encargado quedará circunscrito a lo que resulte necesario para llevar a cabo la prestación de Servicios indicados en el Contrato y se efectuará siempre en el marco de esta.

4.2 Los tratamientos de datos previstos son aquéllos directamente relacionados con el correcto desarrollo de los servicios y cuyas características se indican en el APENDICE I – DETALLE DE LOS TRATAMIENTOS que puede encontrarse en la siguiente url: www.veloxx.io

5. DURACIÓN

5.1 El presente DPA permanecerá vigente durante la prestación de los SERVICIOS mientras el Encargado deba procesar datos personales en nombre del Responsable y su duración estará vinculada al tiempo establecido en el Contrato.
5.2 Una vez cumplida la prestación objeto del Contrato, o bien en el supuesto de su resolución, los datos de carácter personal que pudieran permanecer en poder del Encargado—salvo que exista una norma jurídica que exija su conservación— deberán ser destruidos o devueltos (según se indique por el Cliente) al Responsable del Tratamiento o al Encargado de Tratamiento que El Responsable indique, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto del tratamiento.
5.3 Con independencia de lo indicado anteriormente, el Encargado podrá conservar los datos personales, debidamente bloqueados, en el caso de que pudieran derivarse responsabilidades administrativas o jurisdiccionales de su relación con el Responsable.

6. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO

El Encargado del Tratamiento y todo su personal se obliga, de acuerdo con lo establecido en el Art. 28 del RGPD a:
6.1 Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, únicamente para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.
6.2 Tratar los datos de acuerdo con las instrucciones del Responsable incluidas en este DPA o mediante cualquier comunicación que reciba del Responsable por escrito. Si el Encargado considera que alguna de las instrucciones infringe alguna de las disposiciones en materia de protección de datos, el Encargado informará inmediatamente al Responsable.
6.3 Llevar un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:
6.4 No comunicar los datos personales a terceros, salvo que se cuente con la autorización expresa y por escrito del Responsable en los supuestos legalmente admisibles.

6.5 Subcontratación: Se autoriza al Encargado a subcontratar ciertos tipos de tratamientos específicamente necesarios para proporcionar los servicios. Adicionalmente podrían subcontratarse parcialmente otros servicios auxiliares necesarios para el normal funcionamiento de los servicios del Encargado. A tal efecto, los subcontratistas autorizados por el Responsable del Tratamiento se especifican en el APENDICE II – Subencargados, que puede encontrarse en la siguiente url: www.veloxx.io

6.6 Mantener el deber de secreto y confidencialidad respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
6.7 Garantizar que las personas autorizadas para tratar datos personales:
6.8 Mantener la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
6.9 Ayudar al Responsable en la medida de lo posible y de acuerdo con los servicios prestados, cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento y portabilidad de datos.
6.10 En el caso de que Veloxx recibiese una solicitud dirigida al Cliente, redirigirá dicha solicitud al dato de contacto proporcionado por el Cliente.

6.11 Derecho a la información: Si fuera preciso, y así se estableciese en el Contrato el Encargado deberá informar a los interesados de los tratamientos que se llevarán a cabo en el momento de recabar los datos personales. El Responsable indicará los textos informativos y junto con el Encargado establecerán el formato más adecuado para informar a los interesados antes de recabar los datos.

6.12 Notificación de violaciones de la seguridad de los datos
6.13 El Responsable, en su condición de Responsable del Tratamiento, podrá efectuar, previa solicitud a El Encargado la realización de los controles y auditorías que estime oportunos para comprobar el correcto cumplimiento por parte de El Encargado del presente DPA. El Encargado ya realiza sus propios controles y auditorias, cuyos resultados podrá facilitar al Responsable, previa solicitud, para demostrar el cumplimiento de sus obligaciones. En el caso de precisar controles adicionales, se evaluarán los controles propuestos y si estos supusieran un coste adicional, estos serán asumidos por el Responsable.
6.14 Proporcionar la ayuda necesaria al Responsable en relación con las Evaluaciones de Impacto o consultas previas que deba realizar mediante la aportación de aquella documentación relacionada con la seguridad de los datos con la que cuente el Encargado.
6.15 Implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. Entre ellas, las siguientes:

7. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO

7.1 Corresponde al Responsable del Tratamiento:

8. ACCESO AL SISTEMA DEL RESPONSABLE DEL TRATAMIENTO POR PARTE DEL ENCARGADO DEL TRATAMIENTO

En el caso de que el Encargado precise acceso a los sistemas del Responsable para la prestación de los servicios:
8.1 El Encargado asume la obligación de asegurar el cumplimiento por parte de sus empleados de las obligaciones recogidas en este DPA, responsabilizándose el Encargado en todo caso de supervisar dicho cumplimiento.
8.2 El Encargado del Tratamiento mantendrá actualizada la relación nominal de todos aquellos empleados que accedan a los sistemas del Responsable. 
8.3 El Responsable permitirá el acceso del Encargado a sus sistemas de información si fuera necesario para la prestación del servicio. Este acceso estará condicionado al uso leal, legal y responsable de los mismos. Así mismo, sólo podrán ser utilizados para la prestación de los servicios contratados por el Responsable, quedando prohibido el uso de los mismos con fines personales o privados. El Responsable se reserva el derecho de monitorizar los sistemas para controlar el buen uso y la seguridad de los mismos. En el caso de resolución o suspensión de la relación contractual el Responsable podrá suspender o cancelar el acceso a los sistemas sin previo aviso.
8.4 El Encargado se compromete a cumplir con todas aquellas políticas o procedimientos que el Responsable haya implantado y comunicado al Encargado en relación a los sistemas de información o la protección de datos personales, así como cualquier otra que afecte a la prestación de los servicios.

9. RESPONSABILIDAD

9.1 El Encargado será considerado Responsable en el caso de que destine los datos a otra finalidad, los comunique o los utilice incumpliendo el presente DPA. En estos casos, El Encargado responderá de las infracciones en que hubiera incurrido personalmente.
9.2 Las partes mantendrán indemne a la otra parte en el caso de incumplimiento de las leyes de protección de datos aplicables o las obligaciones contraídas en virtud del presente DPA. Así mismo, las partes indemnizarán a la otra parte por los daños y perjuicios causados derivados de dicho incumplimiento.

10. GENERAL

10.1 El presente DPA entrará en vigor a partir de la fecha establecida en el Contrato con el Cliente.
10.2 Cuando el Cliente renueve o contrate un Servicio se le aplicarán las condiciones establecidas en el DPA que esté vigente en ese momento. Veloxx informará de cualquier cambio o modificación previamente a que sean aplicables y se entenderá que el Cliente ha aceptado dichas modificaciones si continua con el Servicio a partir de la fecha de aplicación. La jurisdicción aplicable a este DPA, será la establecida en el Contrato.
10.3 La jurisdicción aplicable a este DPA, será la establecida en el Contrato.La jurisdicción aplicable a este DPA, será la establecida en el Contrato.

11. DEBER DE INFORMACIÓN

Las partes se informan recíprocamente respecto a los datos personales de los firmantes incluidos en el Contrato y los datos personales de los empleados encargados de llevar a cabo el tratamiento o que intervienen en la relación necesaria para la prestación del servicio, de conformidad con lo dispuesto en el RGPD de lo que sigue: