ACUERDO DE TRATAMIENTO DE DATOS PERSONALES

Que, en cumplimiento con lo dispuesto en el artículo 28 del RGPD y con el fin de proteger los datos de carácter personal del Cliente que eventualmente puedan tratarse en el desarrollo del contrato de licencia de uso de software y para asegurar la confidencialidad profesional de APlanet, las Partes acuerdan la aplicación de las siguientes Cláusulas:

1.- Objeto del servicio

El objeto del encargo de tratamiento es habilitar a APlanet para el acceso a los datos personales que precise para la prestación de los servicios contratados a través de la correspondiente Orden de Compra (ODV) y establecer los términos y condiciones en que podrá llevarse a cabo dicho acceso.

2.- Naturaleza de los servicios prestados y finalidad del tratamiento 

Ambas partes acuerdan que APlanet prestará los citados servicios en sus propias instalaciones y en sus propios sistemas de información con la finalidad de dar soporte y mantenimiento técnico del servicio contratado.  

3.- Identificación de la información suministrada

Para la ejecución de los servicios pactados, APlanet podrá tener acceso a la información con datos personales que se detalla a continuación:

  • Como categorías de interesados serán objeto de tratamiento datos de USUARIOS del Cliente.
  • Como tipo de datos serán objeto de tratamiento los siguientes datos: 

Datos personales (nombre, saludo, título / grado académico, fecha de nacimiento)

Datos de contacto (dirección de correo electrónico, número de teléfono)

Datos de comunicación electrónica (dirección IP, páginas web a las que se accede, detalles del dispositivo utilizado, sistema operativo y navegador)

  • Categorías especiales de datos: no serán objeto de tratamiento. 

4.- Obligaciones del Encargado del tratamiento

APlanet y todo su personal se obliga al cumplimiento de las siguientes estipulaciones:

4.1.- Deber de Confidencialidad

  • Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.
  • Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.
  • Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.
  • Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

4.2.- Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

4.3.- Tratar los datos de acuerdo con las instrucciones del Cliente. Si APlanet considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, informará inmediatamente al Cliente.

4.4.- No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Cliente y en los supuestos en que se requiera legalmente. 

4.5.- transferencia internacional de datos

Si APlanet debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le fuese aplicable, informará a Cliente de esa exigencia legal de manera previa y, en todo caso, garantizará que la misma se realizará observando las obligaciones exigidas por la normativa aplicable.

4.6.- Medidas de seguridad 

APlanet aplicará las medidas técnicas y organizativas que resulten necesarias para garantizar el nivel de seguridad adecuado al riesgo, evitando su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines de tratamiento, así como los riesgos para los derechos y libertades de las personas físicas a que están expuestos. 

APlanet aplicará concretamente las siguientes medidas de seguridad.

  • Elaborará un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Cliente, que contendrá:
  1. El nombre y los datos de contacto del encargado y, en su caso, del representante y del delegado de protección de datos.
  1. Las categorías de tratamientos efectuados por cuenta del Cliente.
  1. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional.
  1. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:
  • La seudoanimización y/o el cifrado de datos personales.
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
  • El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 
  • Notificación de violaciones de la seguridad de los datos: 

APlanet notificará al Cliente, sin dilación indebida y, en cualquier caso, antes del plazo máximo de 24h y a través del correo [email protected] las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. 

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. 

Si se dispone de ella se facilitará, como mínimo, la información siguiente: 

  1. a)  Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados. 
  2. b)  El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información. 
  3. c)  Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales. 
  4. d)  Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida. 

4.7.- Derechos de los titulares: Asistir al Cliente en la respuesta al ejercicio de los derechos de:

  •  Acceso, rectificación, supresión y oposición. 
  • Limitación del tratamiento. 
  • Portabilidad de datos. 
  • A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles) 

El Cliente comunicará a APlanet las peticiones de sus usuarios para que resuelva la solicitud dentro del plazo establecido de 3 días hábiles. Una vez ejecutada la solicitud APlanet lo notificará al Cliente a la dirección facilitada para que éste pueda dar respuesta al titular de los datos dentro del plazo de un mes establecido en la normativa.

Cuando las personas afectadas ejerzan los citados derechos, directamente ante APlanet, éste redirigirá al usuario para que contacte con el Cliente. 

4.8.- Dar apoyo al Cliente en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

4.9.- Dar apoyo al Cliente en la realización de las consultas previas a la autoridad de control, cuando proceda.

4.10.- Poner a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para permitir y contribuir a la realización de las auditorías incluidas las inspecciones que realicen el Cliente u otro auditor autorizado por él, siempre y cuando APlanet considere que ello no infrinja otras disposiciones en materia de protección de datos.

5.- Destino de los datos

APlanet se compromete a destruir los datos, una vez transcurridos tres meses desde la finalización de la prestación de servicios. No obstante, APlanet puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación de los servicios. 

6.- Subcontratación

El Cliente por la presente autoriza a APlanet a subcontratar parte del servicio y aprueba expresamente la participación de los Subencargados del Tratamiento enumerados en el apartado 1 del ANEXO. APlanet notificará al Cliente de cualquier cambio previsto en los Subencargados del Tratamiento con una antelación de 15 días. 

El subcontratista, que también tendrá la condición de ENCARGADO DEL TRATAMIENTO está obligado igualmente a cumplir las obligaciones establecidas en este documento para APlanet y las instrucciones que dicte el Cliente. 

7.- Obligaciones del responsable del tratamiento.

Corresponde al Cliente las siguientes obligaciones:

  1. Facilitar a los titulares de los datos el derecho de información en el momento del acceso al servicio.
  2. Comunicar a APlanet cualquier variación que se produzca de los datos personales facilitados, para que ésta proceda a su actualización.
  1. Violaciones de seguridad: Corresponde al Cliente comunicar las violaciones de seguridad a la autoridad de protección de datos y a los interesados
  • A la Autoridad de Protección de Datos sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación. 
  • A los interesados, en el menor tiempo posible cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas.
  1. Realizar las evaluaciones de impacto relativas a la protección de datos, cuando proceda.
  2. Realizar las consultas previas que corresponda a la autoridad de control.
  3. Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

8.- Jurisdicción aplicable

Para cualquier divergencia que suscite la interpretación de este acuerdo de encargado de tratamiento, serán competentes, renunciando las partes a su propio fuero, los tribunales de la ciudad del encargado del tratamiento.

ANEXO 1: SUBENCARGADOS DEL TRATAMIENTO APROBADOS 

  1. Lista de Subencargados del Tratamiento 

Subencargados del Tratamiento de APlanet que se encuentran en un Estado Miembro, en un país que la Comisión Europea considera que dispone de una protección adecuada o que han incorporado a sus contratos de encargado de tratamiento cláusulas contractuales tipo para la transferencia de datos personales entre países de un Estado Miembro a otro país no miembro de la Unión Europea pre-aprobadas por la Comisión Europea con fecha 4 de junio de 2021.

Nombre del Subencargado

 del Tratamiento

Dirección del Subencargado del Tratamiento

Servicios/Tratamiento proporcionados por el Subencargado

POSTMARKAPP

https://postmarkapp.com/eu-privacy

Email delivering

AMAZON WEB SERVICES

https://aws.amazon.com/es/compliance/data-privacy/

Hosting  

INTERCOM

https://www.intercom.com/legal/privacy

Chat