logo main
  • Es
    English
    Portuguese
    Spanish
    • Iniciar sesiónPrueba gratuita

    Apéndice 1 al Acuerdo de Licencia de Albato

    ACUERDO DE TRATAMIENTO DE DATOS

    (RESPONSABLE A ENCARGADO)

    Este Acuerdo de Tratamiento de Datos (“DPA”, por sus siglas en inglés) forma parte del Acuerdo de Licencia (“Acuerdo de Licencia”) entre usted ("usted", "Cliente" o "su") y Albato Limited, Chipre, HE 420916 ("Proveedor", “Encargado”, "nosotros" o "nos"), conjuntamente las “Partes” e individualmente una “Parte”. Este Acuerdo rige los términos legales para el tratamiento por parte del Proveedor de los datos personales que usted pueda necesitar procesar al utilizar los Servicios de Albato. Este DPA forma parte del Acuerdo de Licencia, por lo que no es necesario firmarlo adicionalmente al propio Acuerdo de Licencia. Sin embargo, en caso de que necesite una copia firmada del DPA por separado, póngase en contacto con nosotros en support@albato.com. A solicitud de un interesado o de otra persona autorizada para recibir la información relevante, una Parte deberá proporcionar una copia de este DPA, incluidos los Anexos completados por las Partes, al interesado de forma gratuita. En la medida necesaria para proteger secretos comerciales u otra información confidencial, incluidos datos personales, una Parte podrá redactar parte del texto del DPA (incluido cualquier Anexo) antes de compartir una copia, pero deberá proporcionar un resumen significativo cuando el interesado no pueda entender su contenido o ejercer sus derechos. A solicitud, las Partes proporcionarán al interesado las razones de las redacciones, en la medida de lo posible sin revelar la información redactada.

    CONSIDERANDO

    (A) El Cliente actúa como Responsable, quien determina los fines y medios del tratamiento de datos personales;

    (B) El Proveedor actúa como Encargado, que procesa datos personales en nombre del Responsable (siendo que nada limitará el derecho del Encargado a actuar como encargado para otros responsables, ya sean clientes del Encargado o no, y a actuar como responsable en relación con terceros);

    (C) Las Partes buscan implementar un acuerdo de tratamiento de datos que cumpla con los requisitos del marco legal vigente en relación con el tratamiento de datos y desean garantizar el cumplimiento de los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de Protección de Datos) y, en la máxima medida posible, con otra legislación de protección de datos;

    (D) El DPA se aplica al tratamiento de datos personales según se especifica en el Anexo 1 del mismo;

    (E) Los Anexos del DPA forman parte integral de este DPA;

    (F) Las Partes desean establecer sus derechos y obligaciones.

    SE ACUERDA LO SIGUIENTE:

    1. Definiciones e Interpretación

    1.1 A menos que se defina de otra manera en este documento, los términos y expresiones en mayúsculas utilizados en este DPA tendrán el siguiente significado:

    1.1.1. Los términos y expresiones definidos en el Acuerdo de Licencia tendrán el significado asignado en dicho Acuerdo;

    1.1.2. “DPA” significa este Acuerdo de Tratamiento de Datos y todos sus Anexos;

    1.1.3. “Datos Personales del Responsable” significa cualquier dato personal procesado por el Encargado en nombre del Responsable de conformidad con o en relación con el Acuerdo de Licencia;

    1.1.4. “EEE” significa el Espacio Económico Europeo;

    1.1.5. “Leyes de Protección de Datos de la UE” significa la Directiva 95/46/CE de la UE, transpuesta a la legislación nacional de cada Estado Miembro y modificada, reemplazada o actualizada de vez en cuando, incluido el GDPR y las leyes que implementan o complementan el GDPR;

    1.1.6. “GDPR” significa el Reglamento General de Protección de Datos de la UE 2016/679;

    1.1.7. “Transferencia de Datos” significa:

    1.1.7.1. una transferencia de los Datos Personales del Responsable desde el Responsable al Encargado; o

    1.1.7.2. una transferencia posterior de los Datos Personales del Responsable desde el Encargado a un Subcontratista, o entre dos establecimientos del Encargado, en cada caso, cuando dicha transferencia no esté prohibida por las Leyes de Protección de Datos (o por los términos de los acuerdos de transferencia de datos establecidos para abordar las restricciones de transferencia de datos de las Leyes de Protección de Datos);

    1.1.8. “Servicios” significa los servicios de suscripción proporcionados por el Proveedor al Cliente en virtud del Acuerdo de Licencia, consistentes en servicios de integración de aplicaciones y vinculación de datos basados en la web, a los que se accede a través del sitio web de Albato.

    1.1.9. “Subcontratista” significa cualquier persona designada por o en nombre del Encargado para procesar Datos Personales en nombre del Cliente en relación con el Acuerdo de Licencia.

    1.2 Los términos “Comisión”, “Responsable”, “Interesado”, “Estado Miembro”, “Datos Personales”, “Datos Sensibles”, “Violación de Datos Personales”, “Tratamiento” y “Autoridad de Supervisión” tendrán el mismo significado que en el GDPR, y sus términos relacionados se interpretarán en consecuencia.

    2. GARANTÍA GENERAL

    El Responsable garantiza que ha realizado esfuerzos razonables para determinar que el Encargado es capaz, mediante la implementación de medidas técnicas y organizativas adecuadas, de cumplir con sus obligaciones conforme a este DPA.

    3. TRATAMIENTO DE LOS DATOS PERSONALES DEL RESPONSABLE. MEDIDAS DE SEGURIDAD

    3.1 El Encargado deberá:

    3.1.1. cumplir con todas las Leyes de Protección de Datos aplicables en el Tratamiento de los Datos Personales del Responsable; y

    3.1.2. no Tratar los Datos Personales del Responsable excepto bajo las instrucciones documentadas del Responsable correspondiente. Sin limitar otros medios de dar instrucciones, el Responsable instruye al Encargado a procesar, durante el plazo de este DPA, los datos personales de acuerdo con las instrucciones automatizadas realizadas por el Responsable a través del Servicio del Encargado conectado al producto de Software del Encargado, de conformidad con el Acuerdo de Licencia al que se incorpora este DPA. Cualquier instrucción a través de dichos Servicios/Software se considerará proporcionada por el Responsable; y el Responsable acepta y reconoce que el Responsable, no el Encargado, es responsable de la elección de cualquier funcionalidad de los Servicios/Software y su implementación bajo el Acuerdo de Licencia, y usted utilizará la funcionalidad de los Servicios/Software con el debido cuidado y utilizando mecanismos razonablemente seguros, así como sus decisiones internas de sistemas y software; y

    3.1.3. procesar los Datos Personales del Responsable dentro de la lista (pero no necesariamente cada vez todos los datos enumerados) indicada en el Anexo 1 de este documento. El Responsable garantiza que los Datos Personales del Responsable que serán tratados por el Encargado conforme a este DPA no incluirán ningún Dato Sensible.

    3.1.4. procesar los datos personales para la lista de Interesados indicada en el Anexo 1 de este documento;

    3.1.5. El Encargado tratará los Datos Personales del Responsable únicamente para el(los) propósito(s) específico(s) de la transferencia, según se establece en el Anexo 2 de este documento, a menos que reciba instrucciones adicionales del Responsable; y

    3.1.5. El Encargado procesará/almacenará los Datos Personales del Responsable únicamente durante el período especificado en el Anexo 3 de este documento, y después de que expire el fundamento legal para conservar los datos personales relevantes, el Encargado los eliminará o destruirá.

    3.2. El Responsable garantiza y asegura que utiliza los Servicios/Software y proporciona al Encargado para el tratamiento de los datos personales únicamente en cumplimiento de la Legislación de Protección de Datos aplicable, incluyendo, sin limitación, el cumplimiento de todos los derechos de los Interesados, proporcionándoles toda la información y notificaciones necesarias y obteniendo todos los consentimientos y autorizaciones necesarios de los Interesados. Los datos personales que serán tratados por el Encargado no se venden al Encargado ni se proporcionan a cambio de ninguna contraprestación; se procesan como parte de la funcionalidad de los Servicios/Software bajo el Acuerdo de Licencia como parte de los Servicios.

    3.3. En caso de que el Encargado encuentre algún obstáculo legal o técnico para procesar los datos personales bajo las instrucciones del Responsable, el Encargado informará al Responsable en consecuencia y esperará instrucciones actualizadas.

    3.4. Las Transferencias de Datos fuera del EEE se realizarán de acuerdo con la Legislación de Protección de Datos, la lista de subcontratistas, decisiones adecuadas u otro acuerdo entre las Partes.

    4. PERSONAL DEL ENCARGADO

    4.1. El Encargado tomará medidas razonables para garantizar la confiabilidad de cualquier empleado, agente o contratista que pueda tener acceso a los Datos Personales del Responsable, asegurando en cada caso que el acceso esté estrictamente limitado a aquellos individuos que necesiten conocer/acceder a los Datos Personales del Responsable relevantes, según sea estrictamente necesario para los fines del Acuerdo de Licencia, y para cumplir con las Leyes de Protección de Datos en el contexto de las funciones de ese individuo hacia el Encargado, asegurando que todos dichos individuos estén sujetos a acuerdos de confidencialidad u obligaciones profesionales o legales de confidencialidad.

    5. SEGURIDAD

    5.1. Teniendo en cuenta el estado de la técnica, los costes de implementación, la naturaleza, el alcance, el contexto y los fines del Tratamiento, así como el riesgo de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Encargado implementará, en relación con los Datos Personales del Responsable, medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad apropiado a dicho riesgo, incluyendo, cuando sea apropiado, las medidas mencionadas en el artículo 32(1) del GDPR. La lista de las principales medidas de seguridad se detalla en el Anexo 4 de este documento.

    5.2. Al evaluar el nivel de seguridad adecuado, el Encargado tendrá en cuenta, en particular, los riesgos que presenta el Tratamiento, especialmente los derivados de una Violación de Datos Personales.

    6. SUBCONTRATACIÓN

    6.1 Las Partes acuerdan que el Encargado tiene la autorización general del Responsable para utilizar los servicios de Subcontratistas de la lista indicada en el Anexo 5 de este documento. El Encargado podrá modificar dicha lista con un aviso previo por escrito de 30 días al Responsable. En caso de que el Responsable objete razonablemente los cambios en la lista de Subcontratistas, proporcionando preocupaciones razonables en cuanto a la seguridad de los datos personales, el único y exclusivo recurso del Responsable será la terminación del Acuerdo de Licencia por conveniencia con un aviso previo por escrito de 15 días.

    7. DERECHOS DE LOS INTERESADOS

    7.1 Teniendo en cuenta la naturaleza del Tratamiento, el Encargado ayudará al Responsable implementando medidas técnicas y organizativas adecuadas, en la medida de lo posible, para el cumplimiento de las obligaciones del Responsable, según lo razonablemente entendido por este, para responder a las solicitudes de ejercicio de los derechos de los Interesados conforme a las Leyes de Protección de Datos.

    7.2 El Encargado deberá:

    7.2.1 notificar inmediatamente al Responsable si recibe una solicitud de un Interesado en virtud de cualquier Ley de Protección de Datos respecto a los Datos Personales del Responsable, teniendo en cuenta que, en general, la disponibilidad para responder a los Interesados recae en el Responsable; y

    7.2.2 asegurarse de no responder a dicha solicitud excepto bajo las instrucciones documentadas del Responsable o según lo requerido por las leyes aplicables a las que esté sujeto el Encargado, en cuyo caso el Encargado informará al Responsable de ese requisito legal antes de responder a la solicitud, en la medida en que lo permitan las leyes aplicables.

    8. VIOLACIÓN DE DATOS PERSONALES

    8.1 El Encargado notificará al Responsable sin demora indebida cuando tenga conocimiento de una Violación de Datos Personales que afecte a los Datos Personales del Responsable, proporcionándole información suficiente para permitir que el Responsable cumpla con cualquier obligación de informar o notificar a los Interesados sobre la Violación de Datos Personales conforme a las Leyes de Protección de Datos.

    8.2 El Encargado cooperará con el Responsable y tomará medidas comerciales razonables según lo indicado por el Responsable para ayudar en la investigación, mitigación y remediación de cada Violación de Datos Personales.

    9. EVALUACIÓN DE IMPACTO DE PROTECCIÓN DE DATOS Y CONSULTA PREVIA

    9.1 El Encargado proporcionará una asistencia razonable al Responsable en relación con las evaluaciones de impacto de protección de datos y las consultas previas con las Autoridades de Supervisión u otras autoridades competentes en materia de privacidad de datos, que el Responsable considere razonablemente requeridas por el artículo 35 o 36 del GDPR o disposiciones equivalentes de cualquier otra Legislación de Protección de Datos, en cada caso únicamente en relación con los datos personales procesados conforme a este DPA, y teniendo en cuenta la naturaleza del tratamiento y la información disponible para el Encargado.

    10. DERECHOS DE AUDITORÍA

    10.1 Sujeto a lo dispuesto en esta sección 10, el Encargado pondrá a disposición del Responsable, a solicitud de este, toda la información razonablemente necesaria para demostrar el cumplimiento de este DPA, y permitirá y contribuirá a las auditorías, incluidas las inspecciones, realizadas por el Responsable o un auditor designado por el Responsable en relación con el tratamiento de los Datos Personales del Responsable conforme a este DPA. Cualquier auditoría y provisión de información correrá por cuenta del Responsable.

    10.2 Los derechos de información y auditoría del Responsable solo surgen bajo la sección 10.1 anterior en la medida en que el Acuerdo de Licencia no prevea de otra manera el derecho/posibilidad del Responsable de recibir información y derechos de auditoría que cumplan con los requisitos relevantes de la Legislación de Protección de Datos.

    11. TÉRMINOS GENERALES

    11.1 Confidencialidad. Cada Parte deberá mantener en confidencialidad la información que reciba sobre la otra Parte y su negocio en relación con este DPA (“Información Confidencial”) y no deberá usar o divulgar dicha Información Confidencial sin el consentimiento previo por escrito de la otra Parte, excepto en la medida en que:

    (a) la divulgación sea requerida por la ley;

    (b) la información relevante ya esté en el dominio público.

    11.2 Notificaciones. Todas las notificaciones y comunicaciones realizadas bajo este DPA deberán ser por escrito y se entregarán personalmente, se enviarán por correo postal o por correo electrónico a la dirección o dirección de correo electrónico indicada por las Partes al celebrar o ejecutar el Acuerdo de Licencia, incluido el DPA, o a cualquier otra dirección que las Partes notifiquen de vez en cuando.

    1. LEY APLICABLE. AUTORIDAD DE SUPERVISIÓN COMPETENTE

    12.1 Este Acuerdo se rige por las leyes de la República de Chipre.

    12.2 Autoridad de Supervisión Competente: Comisionado para la Protección de Datos Personales 15, Calle Kypranoros, 1061 Nicosia, P.O. Box. 23378, 1682 Nicosia Correo electrónico: commissioner@dataprotection.gov.cy

    Anexo 1

    Categorías de interesados cuyos datos personales se procesan Los datos del Responsable y/o los clientes del Responsable Categorías de datos personales procesados Nombre, nombre de la empresa, correo electrónico, número de teléfono, información sobre el formulario de contacto donde se dejó la solicitud y otros datos que puedan ser solicitados por el Responsable, incluido el uso de la interfaz de Albato. Naturaleza del tratamiento Cualquier operación o conjunto de operaciones que se realice sobre datos personales o conjuntos de datos personales, ya sea mediante medios automatizados o no, como la grabación, almacenamiento, adaptación o modificación, estructuración, transmisión (transferencia), eliminación o destrucción, cifrado, extracción de datos, uso.

    Anexo 2

    Propósito(s) para el cual se procesan los datos personales en nombre del responsable Los datos personales se utilizarán para realizar los servicios descritos en el Acuerdo al que se incorpora este DPA.

    Anexo 3

    Duración del tratamiento El tratamiento de datos se realizará durante el período hasta la terminación del Acuerdo al que se incorpora este DPA.

    Anexo 4

    Principales medidas de seguridad • Se implementa una política de control de acceso. • Se realiza formación de empleados sobre protección de datos y seguridad de la información. • Se supervisa la composición del hardware, software y herramientas de seguridad de la información. • Se establecen reglas para el uso del correo electrónico y protección contra spam. • Se realiza un análisis interno anual de riesgos de seguridad de la información. • Se implementa una política de seguridad de la información. • Se diferencia los derechos de acceso. • Se mantiene un registro de activos de información. • Se realiza un inventario anual de activos de información. • Se implementa una política de gestión de riesgos. • Se definen y distribuyen las áreas de responsabilidad en seguridad de la información. • Se incluyen cláusulas de seguridad de la información en los contratos con contrapartes. • Se firman acuerdos de confidencialidad (NDA) con los empleados. • Los empleados tienen acceso a material de formación sobre seguridad de la información. • Cuando un empleado deja la empresa, debe completar los pasos relacionados con la seguridad de la información establecidos en una lista de verificación. • Se implementa una política de confidencialidad. • Se aplica una política de escritorio limpio. • Se aplica una política de pantalla limpia. • Se implementa una política de bloqueo de pantalla. • Se realizan copias de seguridad diarias de los datos. • Se mantiene un registro de incidentes de seguridad de la información. • Se realiza un escaneo externo de vulnerabilidades en aplicaciones web. • Se configura una ACL (Lista de Control de Acceso) entre VLANs. • Se establecen reglas para filtrar el tráfico entrante; todos los puertos están bloqueados. • Los canales recomendados para la transferencia de datos se indican en las instrucciones del producto. • Se firman acuerdos de licencia con las contrapartes. • Se formaliza una lista de puestos autorizados para procesar datos personales. • Los inicios y cierres de sesión de la cuenta de administrador se registran. • El administrador puede diferenciar las reglas de acceso para el personal. • Las copias de seguridad de los datos eliminados se almacenan durante 1 mes. • El Encargado autoriza a las personas responsables de la comunicación con el Responsable y proporciona medios de comunicación para garantizar que se brinde toda la asistencia necesaria al Responsable en caso de ser necesario, incluidos los datos personales almacenados en las copias de seguridad. • El Encargado proporciona identificación y autorización de los usuarios del sistema Albato. • Los datos personales se protegen durante la transmisión mediante el uso de SSL/TLS. • La seguridad informática se garantiza mediante la revisión de código (Code Review), que incluye obligatoriamente una revisión de seguridad del código.

    Anexo 5

    Nombre: Amazon Web Services, Inc. y/o sus afiliadas (“AWS”) Dirección: P.O. Box 81226, Seattle, WA 98108-1226 Nombre, puesto y datos de contacto de la persona de contacto: Oficial de Protección de Datos, correo electrónico: aws-EU-privacy@amazon.com Descripción del procesamiento (incluyendo una delimitación clara de responsabilidades en caso de que se autoricen varios subprocesadores): Almacenamiento de datos.