Acuerdo de procesamiento de datos

Última revisión: 18 de junio de 2024

Acuerdo sobre el tratamiento de datos de conformidad con el art. 28 RGPD

  1. Objeto y duración del acuerdo
    1. Artículo
      • Este Acuerdo de Procesamiento de Datos ("APD") se celebra entre Smoobu GmbH ("Smoobu", "Procesador", "Contratista") y una empresa como usuario de la Plataforma Smoobu y sus servicios ("Usuario", "Cliente", "Controlador"), por el que los detalles de las partes se establecen en el Acuerdo Principal y las CCGG aplicables para el Acuerdo de Plataforma SaaS para la prestación de servicios digitales ("CCGG") por Smoobu. Este DPA es un suplemento al Acuerdo Principal, ya que se incorpora a él por referencia, define los derechos y obligaciones del Cliente y Smoobu y se aplica a todos los servicios realizados y descritos en el Acuerdo Principal y proporcionados por Smoobu al Cliente.
      • Esta APD se aplica en la medida en que el Cliente utilice los servicios digitales (incluidos los sitios web y las aplicaciones móviles) de Smoobu en la Plataforma o Smoobu procese datos personales de acuerdo con las instrucciones del Cliente, incluidos los datos personales proporcionados al Contratista por o en nombre del Cliente, con el fin de prestar servicios en virtud del Acuerdo Principal. Si no se aplica ninguna de las condiciones anteriores, no se aplicará el presente APD.
      • En caso de que otras leyes locales a las que esté sujeto el Cliente requieran precauciones adicionales con respecto a asuntos relacionados con la protección de datos en relación con el cumplimiento del Contrato Principal, que no se mencionen o describan suficientemente aquí en el APD, las partes tomarán dichas precauciones, siempre que el Cliente informe al Contratista con suficiente antelación y el Contratista pueda implementarlas económica y técnicamente tras examinarlas.
    2. Duración
      • La duración del presente APD ("Plazo") se corresponde con la del Contrato Principal. El Contratista procesará los datos personales del Cliente mientras dure la prestación de los Servicios y, posteriormente, hasta que los datos sean eliminados o devueltos de conformidad con la instrucción correspondiente. La cancelación u otro tipo de rescisión de la relación contractual principal pondrá fin simultáneamente al presente APD.
      • No obstante lo dispuesto en el párrafo anterior, el presente APD se aplicará mientras el Contratista procese los datos personales del Cliente (incluidas las copias de seguridad, etc.). Como medida necesaria para garantizar la integridad y disponibilidad de los datos, el Contratista podrá conservar copias de seguridad de los datos personales del Cliente incluso una vez finalizada la prestación de los Servicios. El Contratista se asegurará de que dichos datos personales no se utilicen activamente y de que el acceso a los mismos esté estrictamente limitado.
    3. Anulación
      • El Cliente podrá rescindir el presente APD con efecto inmediato si el Contratista o uno de sus subprocesadores infringe las disposiciones del presente APD o la legislación pertinente en materia de protección de datos.
      • El Contratista podrá rescindir el presente APD si el Cliente se opone a un subprocesador que el Contratista considere necesario para la prestación de los servicios o si el Cliente emite una instrucción que el Contratista considere impracticable de aplicar.
    4. Definiciones
      • A efectos de la presente APD, los términos "medidas técnicas y organizativas apropiadas", "responsable del tratamiento", "datos personales", "violación de datos personales", "tratamiento", "encargado del tratamiento" y "autoridad de control" (o términos equivalentes) tendrán el significado que se les atribuye en la legislación aplicable en materia de protección de datos.
      • Leyes de protección de datos relevantes son (i) el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE ("GDPR"); (ii) el Reglamento (UE) 2016/679 del Reino Unido ("GDPR UK"), por lo que las referencias al RGPD deben entenderse como referencias a las disposiciones correspondientes del GDPR UK; iii) la legislación nacional que complementa el RGPD y regula el tratamiento de datos personales.
      • Datos personales del cliente incluye todos los datos personales, incluidos los datos del Cliente y de sus clientes, que utilicen los servicios del Cliente ("Cliente") procesados por el Contratista de conformidad con las Instrucciones con el fin de prestar los Servicios, incluidos los datos personales facilitados al Contratista por el Cliente o en su nombre. Para evitar cualquier duda, los Datos Personales del Cliente no incluyen (i) los datos personales que el Contratista tendría independientemente del uso de los Servicios por parte del Cliente, en particular los datos de tráfico de terceros, como la información técnica vinculada sobre los dispositivos utilizados (dirección IP, ID de cookies, otros metadatos) (cuando proceda) y (ii) la información estadística agregada que no constituya datos personales.
      • Instrucción / Instrucción significa una instrucción relativa al alcance y la forma del procesamiento de los datos personales del Cliente que el Cliente da al Contratista en cualquier forma, como, entre otras, disposiciones seleccionadas del Acuerdo Principal y esta APD, órdenes escritas del Cliente, correos electrónicos o configuraciones en la Plataforma proporcionadas al Cliente por el Contratista.
      • Un Subencargado del Tratamiento es un tercero encargado del tratamiento de datos por el Contratista que tiene acceso a los datos del Cliente en calidad de encargado del tratamiento o que los tratará de conformidad con las instrucciones impartidas.
      • Las Cláusulas Contractuales Tipo/ SCC son las Cláusulas Contractuales Tipo aprobadas por la Comisión Europea para la transferencia de datos personales desde la Unión Europea a terceros países, en su versión modificada, sustituida, completada o reemplazada de vez en cuando, y cuya versión completa vigente puede consultarse en el siguiente enlace: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en.
      • DPF significa el Marco de Privacidad de Datos UE-EE.UU. y/o el Marco de Privacidad de Datos Suiza-EE.UU. o cualquier programa sucesor de autocertificación operado por el Departamento de Comercio de EE.UU. y aprobado por la Comisión Europea de vez en cuando que no haya sido invalidado (y en cada caso incluye la extensión al Reino Unido del Marco de Privacidad de Datos UE-EE.UU. y cualquier otra extensión a otro país de dicho marco que extienda la aplicación del Marco de Privacidad de Datos UE-EE.UU. a ese país).
  2. Especificación del contenido del APD
    1. El usuario como Cliente y Controlador encarga a Smoobu como Contratista el tratamiento de los datos personales del Cliente como procesador de acuerdo con las instrucciones documentadas.
    2. Como parte de las obligaciones generales, el Cliente garantizará y documentará que el Contratista pueda, con el fin de prestar los Servicios, procesar los datos personales proporcionados por el Cliente, incluidos sus Datos Personales de Cliente utilizados por el Cliente, de conformidad con las instrucciones del Cliente y en cumplimiento de las leyes aplicables a dicho procesamiento. El Cliente garantizará una base jurídica adecuada para el tratamiento de los Datos Personales del Cliente y proporcionará información precisa y completa a los interesados sobre el tratamiento de los Datos Personales del Cliente, tal y como exigen las Leyes de Protección de Datos. En consecuencia, el Cliente informará a sus Clientes de forma transparente de conformidad con los requisitos legales pertinentes.

      Encontrará más información en el Acuerdo principal y en el Anexo 1.
  3. Medidas técnicas y organizativas
    1. El Contratista adoptará todas las medidas técnicas y organizativas necesarias en su ámbito de responsabilidad de conformidad con el art. 32 RGPD para proteger los datos personales y proporcionará al Cliente la documentación para su revisión, que se adjunta como Anexo 2. El Cliente podrá solicitar de vez en cuando información adicional sobre las medidas técnicas y organizativas aplicadas por el Contratista.

      Si el Cliente las acepta, las medidas documentadas constituirán la base del APD. El Contratista deberá aplicar y mantener las medidas, incluidas las medidas de seguridad adecuadas, necesarias para proteger los datos personales del Cliente frente al acceso no autorizado o accidental, la pérdida, la alteración, la divulgación o la destrucción, y deberá ayudar al Cliente a garantizar el cumplimiento de las obligaciones del Cliente a este respecto, teniendo en cuenta la naturaleza del tratamiento y la información disponible. El Contratista deberá establecer la seguridad de conformidad con el Art. 28 para. 3 lit. c, 32 GDPR, en particular en relación con el Art. 5 para. 1, párrafo 2 RGPD. En general, las medidas que deben adoptarse son medidas de seguridad de los datos y medidas para garantizar un nivel de protección adecuado al riesgo con respecto a la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas. Deben tenerse en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance y los fines del tratamiento, así como la probabilidad y gravedad variables del riesgo para los derechos y libertades de las personas físicas.
    2. Si la inspección/auditoría del Cliente revela la necesidad de un ajuste, éste se llevará a cabo de mutuo acuerdo.
    3. Las medidas técnicas y organizativas acordadas están sujetas al progreso técnico y al desarrollo posterior. A este respecto, se permitirá al Contratista aplicar medidas alternativas adecuadas en el futuro. Al hacerlo, el nivel de seguridad de las medidas especificadas no podrá verse menoscabado. El Cliente deberá ser informado inmediatamente de cualquier cambio significativo, que deberá ser documentado por el Contratista.
  4. Derechos de los interesados
    1. El Contratista apoyará al Cliente en su ámbito de responsabilidad y, en la medida de lo posible, mediante medidas técnicas y organizativas adecuadas, en la respuesta y ejecución de las solicitudes de los interesados en relación con sus derechos de protección de datos. No podrá facilitar información, portar, corregir, suprimir o restringir el tratamiento de los datos tratados por cuenta del Cliente sin autorización, sino únicamente de conformidad con instrucciones documentadas del Cliente. Si un interesado se pone en contacto directamente con el Contratista a este respecto, el Contratista transmitirá esta solicitud al Cliente sin demora. El Cliente recibirá apoyo del Contratista para responder a las solicitudes de los interesados y reembolsará los costes en que haya incurrido el Contratista como consecuencia de ello.
    2. Si están cubiertos por el alcance de los servicios, los derechos de información, rectificación, limitación del tratamiento, supresión y portabilidad de datos serán garantizados directamente por el Contratista de conformidad con las instrucciones documentadas del Cliente.
  5. Garantía de calidad y otras obligaciones del Contratista
    1. Además del cumplimiento de las disposiciones de la presente DPA, el Contratista tiene sus propias obligaciones legales en virtud del GDPR; en este sentido, garantiza el cumplimiento de los siguientes requisitos en particular:
      • Mantener la confidencialidad de acuerdo con el Art. 28 párr. 3 frase 2 lit. b, 29, 32 para. 4 RGPD. Al llevar a cabo el trabajo, el Contratista solo utilizará empleados, personal, representantes, proveedores de servicios y subcontratistas que estén obligados a mantener la confidencialidad y que se hayan familiarizado previamente con las disposiciones de protección de datos relevantes para ellos. El Contratista y cualquier persona subordinada al Contratista que tenga acceso autorizado a datos personales sólo podrán tratar estos datos de conformidad con las instrucciones del Cliente, incluidas las autorizaciones concedidas en el presente APD, a menos que estén legalmente obligados a tratarlos.
      • El Cliente y el Contratista cooperarán con la autoridad supervisora en el cumplimiento de sus tareas a petición de ésta.
      • Informar inmediatamente al Cliente de las inspecciones y medidas adoptadas por la autoridad de control en la medida en que estén relacionadas con el presente APD. Esto también se aplica si una autoridad competente investiga el tratamiento de datos personales en el contexto de una infracción administrativa o un procedimiento penal relacionado con el tratamiento de datos personales por parte del Contratista.
      • Si el comitente es objeto de una inspección por parte de la autoridad de control, de una infracción administrativa o de un procedimiento penal, de una reclamación de responsabilidad por parte de un interesado o de un tercero, de otra reclamación o de una solicitud de información en relación con el tratamiento encargado al contratista, el contratista apoyará al comitente en la medida de sus posibilidades.
      • El Contratista supervisará periódicamente los procesos internos y las medidas técnicas y organizativas para garantizar que el tratamiento en su ámbito de responsabilidad se lleva a cabo de conformidad con los requisitos de la legislación aplicable en materia de protección de datos y que se garantiza la protección de los derechos del interesado.
      • Verificabilidad de las medidas técnicas y organizativas adoptadas frente al Cliente en el ámbito de sus facultades de control de conformidad con la Sección 8 de la presente APD.
      • Teniendo en cuenta el tipo de tratamiento y la información disponible, el Contratista notificará inmediatamente al Cliente cualquier infracción de la protección de datos personales de tal manera que el Cliente pueda cumplir con sus obligaciones legales, en particular de conformidad con el Art. 33, 34 RGPD. Preparará documentación sobre todo el proceso, que pondrá a disposición del Cliente para la adopción de otras medidas.
      • El Contratista apoyará al Cliente en su ámbito de responsabilidad y, en la medida de lo posible, en el marco de las obligaciones de información existentes frente a las autoridades de control y los interesados, y le facilitará sin demora toda la información pertinente en este contexto.
      • El Contratista no se comunicará con las autoridades de supervisión, los interesados o los medios de comunicación sobre violaciones de datos, respuestas a solicitudes de ejercicio de derechos de protección de datos u otros incidentes relacionados con los datos personales del Cliente sin las instrucciones del Cliente, a menos que así lo exijan las leyes de protección de datos.
      • En la medida en que el Cliente esté obligado a realizar una evaluación de impacto de la protección de datos de conformidad con el art. 35 RGPD, el Contratista deberá apoyarla, teniendo en cuenta el tipo de tratamiento y la información de que disponga. Lo mismo se aplica a cualquier obligación existente de consultar a la autoridad de control competente en materia de protección de datos.
    2. El presente APD no exime al Contratista del cumplimiento de otras disposiciones del RGPD.
  6. Relaciones de subcontratación
    1. Las relaciones de subcontratación en el sentido de esta disposición se entenderán como aquellos servicios que se relacionan directamente con la prestación del servicio principal. Esto no incluye los servicios auxiliares que utilice el Contratista, por ejemplo, servicios de telecomunicaciones, servicios postales/de transporte, servicios de limpieza o servicios de seguridad. Los servicios de mantenimiento y pruebas constituirán una relación de subcontratación si se prestan para sistemas informáticos que se suministran en relación con un servicio prestado por el Contratista en virtud del presente APD. No obstante, el Contratista está obligado a establecer acuerdos contractuales adecuados y conformes a la ley y a adoptar medidas de control para garantizar la protección y la seguridad de los datos del Cliente, incluso en el caso de servicios auxiliares subcontratados.

      El Cliente autoriza al Contratista a designar subencargados del tratamiento en el ámbito del tratamiento de datos especificado en el presente APD y acepta que dichos subencargados puedan encargar a otros encargados del tratamiento el tratamiento de los datos personales del Cliente. El Cliente consiente el encargo de los subencargados del tratamiento especificados en el Anexo 3, sujeto a la condición de un acuerdo contractual con los subencargados del tratamiento de conformidad con el art. 28 (2-4) RGPD.

      El acuerdo contractual se presentará al Cliente previa solicitud, a excepción de las cláusulas comerciales no relacionadas con la ley de protección de datos.
    2. Se permite la subcontratación o el cambio de subcontratista de conformidad con el Apéndice 3, siempre que:
      • el Contratista notifique al Cliente dicha subcontratación o cambio de subcontratistas con antelación suficiente en formato digital o de otro tipo, de conformidad con el Anexo 3, en un plazo razonable, que no podrá ser inferior a 14 días, y
      • el Cliente no se oponga a la externalización prevista por escrito o en forma de texto al Contratista en el momento de la entrega de los datos, y
      • se basa en un acuerdo contractual de conformidad con el art. 28 (2-4) RGPD.
      • A tal efecto, el Cliente deberá informarse de los cambios a intervalos irregulares en la página web en la que el Contratista informa debidamente sobre la identidad y el alcance del pedido.
    3. La transferencia de datos personales del Cliente al Subcontratista y las actividades iniciales del Subcontratista sólo se permitirán una vez que se hayan cumplido todos los requisitos para la subcontratación. El cumplimiento y la aplicación de las medidas técnicas y organizativas del Subcontratista se comprobarán antes del tratamiento de los datos personales, teniendo en cuenta el riesgo del Subcontratista, y posteriormente de forma periódica por el Contratista.
    4. Si el Subcontratista presta el servicio acordado fuera de la UE/EEE, el Contratista deberá garantizar que el servicio es admisible en virtud de la legislación sobre protección de datos mediante la adopción de las medidas adecuadas.
  7. Transferencias internacionales de datos
    1. Cualquier transferencia de datos personales a un tercer país o a una organización internacional requiere instrucciones documentadas del Cliente y exige el cumplimiento de los requisitos para la transferencia de datos personales a terceros países de conformidad con el Capítulo V del RGPD.  El Cliente autoriza la transferencia de datos a un tercer país a los destinatarios enumerados en el Anexo 3. Las medidas autorizadas por el Cliente para garantizar un nivel adecuado de protección en virtud del Art. 44 y ss. RGPD en el contexto de la subcontratación. Estas medidas pueden incluir, en particular, la aplicación de las cláusulas tipo de protección de datos (CPS) contempladas en el artículo 46, apartado 2, letra c), del RGPD o, como en el caso de una transferencia a un proveedor de los EE. UU., de conformidad con las normas del DPF.
    2. Si el Cliente ordena la transferencia de datos a terceros en un tercer país, el Cliente será responsable del cumplimiento del Capítulo V del RGPD.
  8. Derechos de control del Cliente
    1. El Cliente tendrá derecho a realizar inspecciones en consulta con el Contratista o a encargarlas a auditores independientes que se designarán en casos individuales. Tendrá derecho a cerciorarse del cumplimiento de la presente APD por parte del Contratista en sus operaciones comerciales durante el horario laboral normal mediante comprobaciones aleatorias, que por lo general deberán notificarse con la debida antelación. El Cliente notificará al Contratista por escrito (el correo electrónico es suficiente) con antelación cualquier inspección que deba llevarse a cabo de conformidad con esta sección, indicando el alcance, la forma y la contribución deseada de la cooperación del Contratista. Dependiendo del trabajo implicado, los costes incurridos y el grado de perturbación de las operaciones comerciales en curso, el Contratista enviará al Cliente un acuerdo de remuneración adecuado por adelantado y lo facturará posteriormente.
    2. El Contratista se asegurará de que el Cliente pueda cerciorarse del cumplimiento por parte del Contratista de sus obligaciones en virtud del Art. 28 del RGPD. El Contratista se compromete a proporcionar al Cliente la información necesaria previa solicitud y, en particular, a proporcionar pruebas de la aplicación de las medidas técnicas y organizativas.
    3. La prueba de las medidas técnicas y organizativas para el cumplimiento de los requisitos especiales de protección de datos en general, así como los relativos al pedido, se puede proporcionar a petición expresa por escrito del Cliente mediante el envío de los informes correspondientes o extractos de informes de organismos independientes (por ejemplo, auditores, auditoría interna, responsable de protección de datos, departamento de seguridad de TI, auditores de protección de datos, auditores de calidad) sobre la base de las normas de TI y protección de datos actualmente reconocidas y medidas económicamente proporcionadas.
  9. Autorización del Cliente para dar instrucciones
    1. Durante la vigencia del presente APD, el Cliente podrá dar instrucciones a Smoobu como Contratista. El Contratista tratará los datos personales únicamente sobre la base de instrucciones documentadas del Cliente, a menos que esté obligado a hacerlo en virtud de la legislación del Estado miembro o del Derecho de la Unión. El Cliente confirmará sin demora las instrucciones verbales (al menos en forma de texto). Las instrucciones iniciales del Cliente vendrán determinadas por el presente APD. Si el Cliente da instrucciones adicionales al Contratista, el Cliente reembolsará al Contratista los costes en que haya incurrido como consecuencia de dichas instrucciones.
    2. El Contratista informará inmediatamente al Cliente si considera que una instrucción infringe las normas de protección de datos o si considera que una instrucción específica conduce a una infracción. El Contratista tendrá derecho a suspender la aplicación de la instrucción pertinente hasta que sea confirmada o modificada por el Cliente.
    3. Tras la finalización del plazo y la prestación de servicios en virtud del Contrato Principal y sin perjuicio de los periodos de conservación y eliminación legales aplicables para los datos del Cliente, el Cliente da instrucciones al Contratista para que elimine o anonimice los datos personales de los clientes del Cliente que obren en su poder en un plazo de 120 días a partir de la finalización, a menos que una instrucción o las leyes de protección de datos exijan lo contrario.
  10. Supresión y devolución de datos personales
    1. No se crearán copias o duplicados de los datos sin el conocimiento del Cliente. Quedan excluidas las copias de seguridad, en la medida en que sean necesarias para garantizar el correcto tratamiento de los datos, así como los datos que sean necesarios para cumplir las obligaciones legales de conservación.
    2. Tras la finalización de los trabajos acordados contractualmente o antes a petición del comitente - pero a más tardar tras la rescisión del contrato principal - el contratista entregará al comitente todos los documentos, resultados de procesamiento y utilización y datos relativos a la relación contractual que hayan llegado a su poder o, previo consentimiento, los destruirá de conformidad con la normativa de protección de datos. Lo mismo se aplica al material de prueba y de desecho. El registro de eliminación deberá presentarse previa solicitud.
  11. Responsabilidad
    1. El Contratista indemnizará al Cliente por cualquier daño directo que sufra como consecuencia del incumplimiento del presente APD, incluida la pérdida, divulgación, destrucción o daño accidentales de datos personales del Cliente por parte del Contratista o de cualquiera de sus subencargados del tratamiento, salvo que cualquiera de los anteriores se deba al cumplimiento de las instrucciones del Cliente. Para evitar dudas, las limitaciones de la responsabilidad del Contratista establecidas en el Acuerdo Principal no se aplicarán a esta sección.
  12. Disposiciones finales
    1. En la medida en que de otros acuerdos entre el Cliente y el Contratista se deriven otros acuerdos sobre protección de datos personales, prevalecerá el presente APD sobre tratamiento encargado, salvo que las partes acuerden expresamente lo contrario.
    2. Si alguna parte de este APD se considera inválida o inaplicable, el resto del APD se interpretará de forma que se preserven las intenciones de las partes en la mayor medida posible.
    3. Cualquiera de las partes podrá proponer las modificaciones del presente APD que considere necesarias debido a la legislación sobre protección de datos u otros reglamentos, interpretaciones, decisiones o directrices. En tales casos, las partes cooperarán para modificar el presente APD en consecuencia.
    4. A menos que las disputas entre las partes se resuelvan de forma amistosa, el presente APD se interpretará y ejecutará de conformidad con la ley y por los tribunales de la República Federal de Alemania, según lo dispuesto en el Acuerdo principal.
    5. Para cualquier consulta relativa al tratamiento de los datos personales del Cliente, éste deberá ponerse en contacto con el Contratista en [email protected].

Versión: Junio 2024

Anexo 1 - Ámbito del tratamiento

Controlador☒  Cliente
Procesadores☒  Contratista - Smoobu

Descripción del tratamiento:

  1. Naturaleza y finalidad del tratamiento de datos previsto
    La naturaleza y la finalidad del tratamiento de datos personales por parte del Contratista para el Cliente se describen específicamente en el contrato de servicios (Contrato Principal). El Contratista procesará los datos personales del Cliente en formato electrónico de forma continuada y podrá llevar a cabo las siguientes operaciones sobre los mismos siguiendo instrucciones: Recogida, registro, organización, estructuración, almacenamiento, uso, divulgación y supresión.
  2. Tipo de datos
    El objeto del tratamiento de datos personales de conformidad con el Contrato Principal son los siguientes tipos de datos y se refieren tanto al Cliente como a los Clientes del Cliente con los que éste mantiene una relación jurídica:
    • Datos maestros personales
    • Datos de comunicación (por ejemplo, teléfono, correo electrónico)
    • Actividades de los interesados en los servicios especificados por el Cliente
    • Datos maestros contractuales (relación contractual, producto o interés contractual) 
    • Historial del cliente 
    • Datos de facturación de los contratos
    • No se tratan categorías especiales de datos personales.
  3. Categorías de interesados
    Las categorías de interesados afectados por el tratamiento incluyen, de conformidad con el contrato principal:
    • Cliente
    • Clientes del cliente
    • Empleados del cliente
    • Proveedores de servicios de integración y sus personas de contacto

Apéndice 2 - Medidas técnicas y organizativas

Descripción de las medidas técnicas y organizativas adoptadas por el Contratista, teniendo en cuenta la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de los interesados.

Medidas de seudonimización y cifrado de datos personales:

En función del tipo de datos que vayan a tratarse, se aplican distintos requisitos de seguridad a cada categoría.

Los datos personales del Cliente (y sus empleados) serán seudonimizados (y anonimizados si es necesario) por el Contratista, si es posible y según se requiera de acuerdo con el estándar definido por el Contratista.

El Contratista utiliza conexiones cifradas a través de VPN para el acceso remoto, SSL, etc. y utiliza mecanismos de autenticación multinivel siempre que es posible. También garantiza que no haya un uso no autorizado del sistema estableciendo el uso de contraseñas seguras, mecanismos de bloqueo automático tras un periodo de tiempo, cifrado de soportes de datos, uso de un cortafuegos, cifrado de ordenadores portátiles, gestión de autorizaciones de usuarios, creación de perfiles de usuarios y directrices generales sobre protección de datos y asignación de contraseñas.

Descripción de las medidas para garantizar la confidencialidad, integridad, disponibilidad y resistencia continuas de los sistemas y servicios relacionados con el tratamiento

El Contratista mantendrá responsabilidades y procedimientos para la gestión y el funcionamiento de todas las instalaciones de procesamiento de la información con el fin de garantizar un procesamiento completo, válido y preciso de los datos.

El Contratista garantizará que no haya acceso no autorizado a los sistemas de procesamiento de datos asegurando el sistema con un sistema de alarma con transpondedor o bloqueo por código, cerraduras de seguridad, normas de asignación de llaves y una normativa para visitantes sólo cuando vayan acompañados de empleados.

Descripción de las medidas para garantizar la disponibilidad de los datos personales y el acceso rápido a los datos en caso de incidente físico o técnico

Los sistemas del Contratista están diseñados para defenderse de los ataques comunes o prevenirlos y garantizar su disponibilidad para el funcionamiento, la supervisión y el mantenimiento. A tal fin, el Contratista realizará pruebas y auditorías simuladas periódicas para confirmar que sus sistemas siguen estando disponibles.

La disponibilidad y fiabilidad se supervisan para garantizar que la Plataforma del Contratista permanece en línea con una interrupción mínima del servicio.

Descripción de las medidas para garantizar un proceso de revisión, valoración y evaluación periódicas de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento

Las medidas técnicas y organizativas, las instrucciones aplicables y las directrices pertinentes son revisadas periódicamente por proveedores de servicios externos y mediante pruebas internas.

El Contratista lleva a cabo evaluaciones de riesgo periódicas, incluidas pruebas de vulnerabilidad, pruebas de penetración internas y externas, escaneos y comprobaciones de redes, sistemas y cortafuegos. 

Descripción de las medidas de identificación y autenticación de los usuarios

Los sistemas del contratista se ajustan a las normas y prácticas reconocidas del sector y disponen de procedimientos de comunicación para identificar a los usuarios, así como de sólidos controles de contraseña y autenticación. El acceso al sistema se registra y los administradores pueden gestionar los derechos de los usuarios.

Descripción de las medidas para proteger los datos personales durante su transmisión y almacenamiento

El Contratista mantendrá procedimientos para evitar el acceso no autorizado o el uso indebido de la información y utilizará las mejores prácticas del sector cuando sea necesario, como identificaciones únicas para la autenticación y a efectos de asignación segura al transferir y almacenar en sistemas de producción.

Descripción de las medidas para garantizar la seguridad física de los lugares en los que se tratan datos personales

Los locales del Contratista están protegidos in situ mediante videovigilancia de las zonas de entrada y un sistema de acceso personalizado para impedir la entrada de terceros.  

Los centros de datos utilizados emplean derechos de administración estrictos y tienen estructuras de bases de datos claras para que cada cliente sólo pueda acceder a los registros de datos asignados a su ID de usuario.

Sólo las personas expresamente autorizadas y que necesiten información para su trabajo tienen acceso a los datos personales.

Descripción de los requisitos de registro de eventos (por ejemplo, para la autenticación del Cliente o la entrada, modificación o eliminación de datos).

La política de conservación de datos del Contratista prevé diferentes periodos de conservación y copias de seguridad en función de la categoría de los datos, incluidas las obligaciones legales u otras excepciones que requieran la conservación de dichos datos hasta la expiración de determinadas obligaciones legales, por ejemplo, a efectos fiscales y contables. Si no es posible destruir los datos personales, seguirán aplicándose las disposiciones de protección pertinentes que regulan estos datos personales y cesará cualquier tratamiento posterior.

Apéndice 3 - Relaciones de subcontratación autorizadas

En el siguiente sitio web de subencargados del tratamiento  figura una lista de los subencargados del tratamiento que procesan datos personales (que se actualizará periódicamente) y el Cliente confirma por la presente su consentimiento a los subencargados del tratamiento existentes en el momento de la celebración del Contrato. El sitio web de Subencargados del tratamiento incluye un proceso para que los Clientes se inscriban para recibir notificaciones de nuevos Subencargados del tratamiento o cambios en la lista de Subencargados del tratamiento. Para recibir actualizaciones o cambios en esta lista, debe registrarse a través del mecanismo proporcionado.