Protección de datos
El presente anexo de protección de datos, en adelante “DPA”, establece las condiciones con respecto al tratamiento de datos personales que realiza VELOXX DIGITAL S.L., en adelante “VELOXX”, “el Encargado” y/o “el Encargado del Tratamiento” en nombre del Cliente y forma parte inseparable del Contrato Principal de servicios, Acuerdo de Confidencialidad o Propuesta de Servicios, en adelante el “Contrato”, establecido entre VELOXX y el Cliente identificado en cualquiera de ellos.
En el caso de conflicto entre este Anexo y el Contrato prevalecerá lo establecido en este DPA en relación al tratamiento de datos personales.
Ambas partes afirman que, para la prestación de los Servicios, es necesario el acceso a datos personales responsabilidad del Cliente y que ambas partes cumplirán con la Normativa de protección de datos que les sea aplicable.
Al objeto de dar cumplimiento a lo dispuesto en el Reglamento (UE) 2016/679, de 27 de Abril, (en adelante RGPD) o la Normativa de Protección de Datos que le sea aplicable a cualquiera de las partes, ambas partes están interesadas en suscribir este DPA, el cual formalizan de común acuerdo, sobre la base de las siguientes cláusulas:
1. DEFINICIONES
- 1.1 DPA: Se refiere en todo momento a este Anexo de Protección de Datos;
- 1.2 RESPONSABLE O RESPONSABLE DEL TRATAMIENTO: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento;
- 1.3 ENCARGADO O ENCARGADO DEL TRATAMIENTO: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento;
- 1.4 NORMATIVA DE PROTECCIÓN DE DATOS: Se refiere al RGPD y cualquier otra legislación Española o Europea vigente, junto con aquellas leyes válidas y aplicables en la jurisdicción correspondiente;
- 1.5 RGPD: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos);
- 1.6 PARTES: lo son el Responsable y el Encargado del Tratamiento y se entenderá por parte a cualquiera de las dos partes.
2. OBJETO
- 2.1 El presente DPA tiene por objeto definir las condiciones conforme a las cuales el Encargado llevará a cabo, durante la prestación de los servicios, el tratamiento de los datos de carácter personal responsabilidad del Responsable, y que se corresponden con aquellos estrictamente necesarios para el correcto desempeño de los SERVICIOS contratados.
- 2.2 El tratamiento consistirá en los SERVICIOS contratados según el Acuerdo principal o propuesta de servicios.
3. ROLES Y RESPONSABILIDADES
4. TRATAMIENTOS E INFORMACIÓN PERSONAL
5. DURACIÓN
6. OBLIGACIONES DEL ENCARGADO DEL TRATAMIENTO
- 6.3.1 El nombre y los datos de contacto del Responsable por cuenta del cual actúa y, en su caso, del representante del Responsable o del Encargado y del Delegado de Protección de Datos.
- 6.3.2 Las categorías de tratamientos efectuados por cuenta del responsable.
- 6.3.3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de estos y, en su caso, la documentación de garantías adecuadas.
- 6.3.4 Una descripción general de las medidas técnicas y organizativas de seguridad apropiadas que esté aplicando, en particular las relativas a:
- 6.3.4.1 La seudonimización y el cifrado de datos personales, en su caso.
- 6.3.4.2 La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- 6.3.4.3 La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- 6.3.4.4 El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
- 6.4.1 El Encargado puede comunicar los datos a otros Encargados del Tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.
- 6.4.2 Si el Encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión, de los Estados miembros que le sea aplicable o según la Normativa de protección de datos que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
- 6.4.3 El Encargado del Tratamiento no realizará transferencias internacionales a un tercer país y/o a una organización internacional no establecidos en el Espacio Económico Europeo o el Territorio donde se preste el Servicio, excepto lo indicado en el párrafo anterior y en aquellos casos que sea preciso para la prestación del servicio. En este caso, el Encargado notificará al Responsable del Tratamiento y previa autorización del mismo, podrá realizar dichas transferencias siempre que se cumplan las garantías exigidas por la Normativa de protección de datos aplicables (Cláusulas Contractuales Tipo, Decisiones de adecuación, Normas Corporativas Vinculantes). Se entenderá que han sido autorizadas si el Responsable no manifiesta su disconformidad transcurrido el plazo indicado en la notificación.
6.5 Subcontratación: Se autoriza al Encargado a subcontratar ciertos tipos de tratamientos específicamente necesarios para proporcionar los servicios. Adicionalmente podrían subcontratarse parcialmente otros servicios auxiliares necesarios para el normal funcionamiento de los servicios del Encargado. A tal efecto, los subcontratistas autorizados por el Responsable del Tratamiento se especifican en el APENDICE II – Subencargados, que puede encontrarse en la siguiente link: Apendice II.
- 6.5.1 Si fuera necesario subcontratar algún nuevo subcontratista, este hecho se comunicará previamente al Responsable, con una antelación de 10 días hábiles y mediante los datos de contacto proporcionados, indicando los tratamientos que se pretende subcontratar e identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el Responsable no manifiesta su oposición en el plazo establecido. En el caso de no aceptar dicha subcontratación, se valorará conjuntamente por ambas partes las causas de no aceptación y el Cliente podrá cancelar el Servicio sin ninguna penalización, siempre que exista una causa justificada de no aceptación.
- 6.5.2 El subcontratista, que también tendrá la condición de Encargado del Tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el Encargado del Tratamiento y las instrucciones que dicte el Responsable. Corresponde al Encargado inicial regular la nueva relación de forma que el nuevo Encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que este, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas.
- 6.7.1 Se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
- 6.7.2 Cuentan con la formación necesaria en materia de protección de datos para procesar los datos .
- 6.10.1 La comunicación debe hacerse de forma inmediata y en ningún caso más allá del siguiente día laborable al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
- 6.12.1 El Encargado del Tratamiento notificará al Responsable del Tratamiento, sin dilación indebida y en cualquier caso antes del plazo máximo de 48 horas, a través de la dirección de correo electrónico que el Responsable haya proporcionado o si no han sido proporcionada, mediante los canales que el Encargado considere adecuados (otra dirección de correo electrónico, en persona o mediante llamada telefónica), las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.
- 6.12.2 La notificación de un incidente de Seguridad no implica el reconocimiento de haber cometido ninguna infracción, responsabilidad, falta de diligencia o incumplimiento por parte del Encargado.
- 6.12.3 No será necesaria esta notificación cuando la violación de seguridad no entrañe un riesgo para los derechos y libertades de los interesados.
- 6.12.4 Se facilitará, como mínimo, la información siguiente (Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida):
- a)Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
- b)Datos de la persona de contacto para obtener más información.
- c)Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
- 6.15.1 Se observarán y adoptarán las medidas de índole técnica y organizativas necesarias, que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, sustracción, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural. De acuerdo con lo anterior, se deberán implementar las medidas de seguridad indicadas en el APENDICE III – MEDIDAS DE SEGURIDAD que puede encontrarse en la siguiente link: Apendice III.
- 6.15.2 La designación de un Delegado de Protección de Datos y la comunicación al Responsable de sus datos de contacto.
7. OBLIGACIONES DEL RESPONSABLE DEL TRATAMIENTO
- 7.1.1 Asegurarse de que todos los tratamientos de datos que realice el Encargado cuentan con una base legitimadora válida para poder realizarlos de acuerdo con la Normativa de protección de datos. En el caso que la base legal sea el consentimiento del interesado, el Responsable del Tratamiento obtendrá el consentimiento libre, especifico, informado e inequívoco de acuerdo con el art 7 del RGPD. Siendo directamente responsable en caso de incumplimiento a este respecto.
- 7.1.2 Dar acceso al Encargado a los datos necesarios para que pueda prestar el servicio, siempre que sea estrictamente necesario
- 7.1.3 Realizar una evaluación del impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el Encargado, si fuera necesario.
- 7.1.4 Realizar las consultas previas que corresponda, en su caso.
- 7.1.5 Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del Encargado.
- 7.1.6 Supervisar el tratamiento, incluida en su caso, la realización de inspecciones y auditorías según las condiciones acordadas en el punto 6.12.
8. ACCESO AL SISTEMA DEL RESPONSABLE DEL TRATAMIENTO POR PARTE DEL ENCARGADO DEL TRATAMIENTO
9. RESPONSABILIDAD
10. GENERAL
11. DEBER DE INFORMACIÓN
- Que las personas firmantes del Contrato son los representantes de ambas partes a los efectos de aquél, quedando sus respectivos datos de contacto señalados en el mismo.
- Que el tratamiento de los citados datos tiene como base legítima de tratamiento la ejecución del Contrato al que se refiere este DPA, por lo que su no aportación podría dar lugar a la imposibilidad de desarrollar el mismo.
- Que los datos serán tratados a los efectos dispuestos en el Contrato, a fin de su correcta realización y/o control de cumplimiento.
- Que no están previstas transferencias internacionales de los mismos, adoptándose las medidas necesarias en caso contrario, de conformidad con el RGPD.
- Los datos se conservarán mientras se mantenga le relación contractual y no se solicite su supresión. En cualquier caso, se mantendrán en cumplimiento de los plazos legales de prescripción que le resulten de aplicación.
- Que cualquiera de los interesados podrá ejercitar sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos y oposición de conformidad con la Normativa de protección de datos aplicable pudiendo dirigir una comunicación a la otra parte por escrito a los domicilios sociales identificados al inicio del Contrato, acompañando a la solicitud de que se trate una copia del documento nacional de identidad o documento identificativo equivalente del solicitante (NIE, pasaporte, etc.). Que, en caso de considerar vulnerados sus derechos, no habiendo sido debidamente atendidos por la parte que corresponda, el interesado podrá presentar una reclamación frente a la misma ante la Agencia Española de Protección de Datos Personales (AEPD). En el caso de VELOXX DIGITAL S.L., le recomendamos contactar antes con el DPD: dpo@futurespace.es
- Ambas partes se comprometen a informar a los interesados de lo pactado en esta cláusula.