GDPR - Acuerdo de Procesamiento de Datos (DPA)

1. Que ambas Partes han celebrado un contrato para el uso del SaaS PassportScan propiedad del Procesador de Datos.
2. Que el Cliente es responsable del procesamiento de los datos identificados en la Cuarta Estipulación, todo de acuerdo con las disposiciones del Reglamento (UE) 2016/679, de 27 de abril (en adelante, «RGPD»), y en la L.O. 3/2018, de 5 de diciembre, de protección de datos y garantía de los derechos digitales (LOPDGDD). Si, como resultado de la ejecución de los servicios contratados, el Procesador tiene acceso y realiza algún tipo de procesamiento de los datos personales de los cuales es responsable, lo hará en su calidad de Procesador de Datos, de acuerdo con lo establecido en el Artículo 28 del RGPD.
3. Que, en cumplimiento de lo dispuesto en el RGPD, y en el resto de la normativa aplicable en protección de datos, el PROCESADOR ofrece garantías suficientes para implementar políticas técnicas y organizativas apropiadas para aplicar las medidas de seguridad establecidas por la normativa vigente y proteger los derechos de los interesados.
4. Ambas partes acuerdan celebrar este Acuerdo de Procesador de Datos, sujeto a lo siguiente.

1.Objeto

Mediante estas cláusulas, se faculta al Procesador de Datos para procesar, en nombre del Responsable de los Datos, los datos personales necesarios para proporcionar el servicio que permite el acceso y uso de la plataforma PASSPORTSCAN, además de garantizar el mantenimiento técnico del mismo, todo ello basado en las condiciones acordadas entre las partes. El Gestor actuará siempre de acuerdo con las instrucciones del Responsable, que se describen en este DPA. Las operaciones de procesamiento autorizadas serán aquellas estrictamente necesarias para lograr el propósito del servicio, y pueden ser:

• consulta
• conservación
• limitación
• Eliminación según la configuración y directrices del cliente

2.Duración

Este Contrato de Procesador de Datos entrará en vigencia en el momento de su aceptación y tendrá la misma duración que los servicios contratados con el Procesador.

3.Propósito del Tratamiento

El Procesador de Datos se compromete a que el procesamiento de datos realizado se limite a lo necesario para llevar a cabo la prestación de los servicios regulados entre las partes, ya sea mediante la firma de un contrato expreso y escrito, o mediante la aceptación de términos y condiciones que en cada caso puedan ser establecidos por el Responsable.

4.Tipología de datos procesados

Categorías de interesados:

• Detalles de la cuenta del Controlador de Datos. Los empleados e individuos del Controlador de Datos autorizados por él para acceder a la cuenta.
• Contenido del Controlador de Datos. Clientes y usuarios finales del Controlador de Datos.
• Datos de uso del Controlador de Datos. Clientes y usuarios finales del Controlador de Datos.
• Eliminación según la configuración y directrices del cliente. Tipo de datos procesados:
• Datos de identificación y contacto.
• Datos profesionales.
• Datos de uso de la aplicación.
• Datos económicos y bancarios (si los hubiera).
• Datos de imagen (si los hubiera). El Procesador de Datos no es responsable de la información que el cliente ingresa o almacena, siendo su única responsabilidad tanto el tipo de datos que ingresa, en particular datos de categorías especiales, en su caso, como el tratamiento que realiza de ellos.

5. Prohibición de comunicación de datos personales

El Procesador de Datos se compromete a mantener bajo su control y custodia los datos personales proporcionados por el Responsable de los Datos a los que accede en conexión con la prestación de los Servicios y a no divulgar, transferir o comunicarlos de ninguna manera, ni siquiera para su conservación a otras personas fuera del mismo y para la prestación del Servicio. Sin embargo, el Procesador de Datos no incurrirá en responsabilidad cuando, previa indicación expresa por escrito del Responsable de los Datos, comunique los datos a un tercero designado por este último, a quien haya confiado la prestación de un servicio de acuerdo con las disposiciones de la normativa vigente sobre protección de datos. El acceso por parte del Procesador de Datos a los datos personales no se considerará una comunicación o transferencia de datos, cuando dicho acceso sea necesario para la correcta prestación de los Servicios.

6. Subcontratación de los Servicios

La parte Responsable acepta que el Procesador pueda contratar subprocesadores (en adelante, «Subprocesadores» o «Subprocesadores») para cumplir con sus obligaciones en virtud de este Acuerdo. La parte Responsable otorga consentimiento general para que el Procesador se comprometa con los Subprocesadores, de acuerdo con los siguientes requisitos:

1. Todos los Subprocesadores deben garantizar el cumplimiento de las normativas de protección de datos.
2. El Gestor restringirá el acceso del Subprocesador a los Datos Personales del Responsable estrictamente necesarios para la prestación de sus servicios. La parte Responsable acepta que el Gestor puede contratar Subprocesadores adicionales para procesar los datos dentro de los servicios proporcionados y para los fines permitidos, y mantendrá una lista actualizada de sus Subprocesadores, aunque en estos casos, la parte Responsable será informada de tales cambios para que, en su caso, pueda oponerse a ellos. En caso de oposición, el Gestor decidirá si contratar o no con dicho Subprocesador. En caso de decidir contratar con el Subprocesador con oposición de la parte Responsable, se incurrirá automáticamente en la terminación del Contrato entre las partes.

Cuando el Procesador recurra a un Subprocesador, ambos respetarán las condiciones establecidas en el Artículo 28(2) y (4) del RGPD. Específicamente, el Gestor se compromete a que los Subprocesadores respeten las mismas obligaciones de protección de datos que las indicadas en este contrato. El Gestor pondrá a disposición de la parte Responsable una lista de los subprocesadores de tratamiento que siempre estará actualizada. Actualmente, los servicios de alojamiento y almacenamiento de la plataforma PassportScan están subcontratados a la empresa Amazon Web Services (https://aws.amazon.com/es/privacy/?nc1=f_pr)

7.Transferencias internacionales de datos

El Procesador de Datos no tiene previsto realizar transferencias internacionales de los datos bajo la responsabilidad del Responsable de los Datos fuera del Espacio Económico Europeo, necesarias para la prestación de los servicios contratados. El alojamiento de la información contratado con AWS está definido regionalmente, por lo que los clientes en la zona de la UE tienen sus datos almacenados en la UE y así sucede en otras regiones. En el caso de transferencias fuera del EEE, estas se llevarán a cabo de acuerdo con los artículos 44 a 49 del RGPD.

8. Seguridad de los datos personales

El Procesador de Datos garantiza la aplicación de medidas técnicas y organizativas adecuadas para que el procesamiento cumpla con los requisitos legales, de acuerdo con lo dispuesto en el Artículo 32 del RGPD. En caso de que la parte Responsable solicite al Gestor, por los medios indicados en la Cláusula Decimosexta, un documento explicativo de tales medidas, se proporcionará un Documento de Seguridad que recoja la información principal en esta materia, las medidas de seguridad aplicadas y los procedimientos implementados o en vigor en el momento de la solicitud.

9. Colaboración en la notificación de violaciones de seguridad

9.1. Notificación de violaciones de seguridad

En caso de una violación de seguridad en los sistemas del Procesador de Datos, que pueda afectar la responsabilidad de datos del Responsable de los Datos, el Procesador de Datos, dentro de un período máximo de 48 horas, siempre después de haber tomado conocimiento de la violación de datos personales, se compromete a notificar al Responsable de los Datos a través de la dirección de correo electrónico designada por el Controlador, junto con toda la información relevante para la documentación y comunicación del incidente.

9.2. Asistencia al Responsable

El Gestor pondrá a disposición del Responsable la información requerida por este último para demostrar el cumplimiento de las obligaciones indicadas en el Artículo 28 del RGPD. También permitirá que se realicen auditorías, incluidas inspecciones, por parte del Responsable u otro auditor autorizado por el Responsable. El Procesador no se adhiere a ningún Código de Conducta aprobado bajo el Artículo 40 del RGPD.

10. Derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad de los datos

En caso de ejercicio de derechos por parte de clientes de terceros o trabajadores del Responsable de los Datos, el Responsable de los Datos transferirá de inmediato al Responsable y, a más tardar, en 7 días laborables, para que asista y dé, según corresponda, una respuesta adecuada.

11. Confidencialidad

El deber de secreto y confidencialidad que deriva de este Contrato obliga al Procesador de Datos durante el plazo de la relación mantenida con el Responsable de los Datos. El Procesador de Datos garantiza que las personas dependientes, autorizadas para procesar datos personales bajo la responsabilidad del Responsable de los Datos, asumirán un compromiso de confidencialidad y estarán sujetas a obligaciones legales de confidencialidad adecuadas, incluso después de la terminación del Contrato. El Procesador de Datos se compromete a permitir el acceso a dichos datos solo a aquellos empleados que deban conocerlos para la correcta ejecución de sus funciones en el marco de la prestación de Servicios.

12. Período de conservación y devolución de la información.

El Gestor proporcionará la posibilidad de obtener una copia o eliminar los datos a través de su sistema. Esta es la forma en que el Responsable puede ejercer su derecho de acceso, portabilidad y eliminación de datos. El Responsable acepta ser el único responsable de obtener una copia de sus datos y de eliminarlos después del final del período de eliminación indicado a continuación. Una vez que finalice el contrato, el Gestor:
1. Proporcionará al Responsable, durante los 30 días posteriores a la fecha de vencimiento del contrato, la posibilidad de obtener una copia de sus datos a través de su sistema.
2. Eliminará automáticamente los datos del responsable dentro de los 30 días posteriores a la terminación del contrato.
3. Eliminará automáticamente los datos del responsable en los sistemas de respaldo dentro de los 60 días posteriores a la terminación del contrato.

Cualquier contenido del controlador de datos archivado en los sistemas de respaldo del Procesador estará seguro y protegido contra cualquier procesamiento adicional, excepto según lo requiera la ley aplicable.

Sin perjuicio de lo anterior, el Procesador de Datos puede retener la información del Responsable de los Datos o parte de ella si así lo exige la ley aplicable. Así, el Procesador de Datos procesará los datos de la Cuenta del Responsable de los Datos durante el tiempo que sea necesario para proporcionar los servicios al Responsable de los Datos. Los datos almacenados en el sistema de administración del controlador de datos deben mantenerse como mínimo durante un período de seis años después de la terminación de la relación para fines contables, fiscales y de auditoría, de conformidad con la ley aplicable. Los datos de la Cuenta del Responsable de los Datos almacenados en las comunicaciones con los equipos de servicio al cliente del Procesador de Datos pueden retenerse hasta tres años después de la terminación del Contrato. En cualquier caso, los datos mantenidos por los motivos indicados, una vez finalizada la relación contractual entre las partes, permanecerán bloqueados en todo momento.

13. Responsabilidades de las partes

EL RESPONSABLE DEL TRATAMIENTO será responsable de las infracciones que puedan cometerse en caso de procesamiento de los datos personales del Responsable para otro fin que no sea el contenido en este contrato, así como cuando no adopte las medidas de seguridad correspondientes. EL RESPONSABLE DE LOS DATOS será responsable de cualquier infracción, penalización y/o multa que pueda imponérsele por incumplimiento de sus obligaciones derivadas de la normativa sobre Protección de Datos.

14. Protección de datos

Cada una de las Partes está informada de que sus datos personales serán procesados por la otra parte, de acuerdo con lo establecido en el Reglamento General 2016/679, sobre protección de datos, con el fin de permitir el desarrollo, cumplimiento y control de la prestación de servicios, siendo la base del tratamiento el cumplimiento de la relación contractual. Los datos se mantendrán durante la duración del contrato y, posteriormente, por obligación legal, hasta que expiren las obligaciones y/o responsabilidades derivadas del mismo. Los datos de las partes pueden ser transferidos a bancos, aseguradoras y administraciones públicas, en los casos previstos en la Ley y para los fines definidos en la misma. Las partes pueden solicitar acceso a los datos personales, su rectificación, su eliminación, su portabilidad y la limitación de su tratamiento, así como oponerse a ello, en la dirección de la otra parte que aparece en el encabezado de este Contrato.

15. Legislación y jurisdicción aplicables

El Responsable y el Procesador de Datos declaran conocer y aceptar los términos de uso y/o acuerdos escritos alcanzados entre las partes. Este Contrato de Procesador de Datos se regirá por las regulaciones europeas sobre Protección de Datos Personales, así como por las resoluciones y directrices de la Autoridad de Control y otros organismos competentes en la materia. Para resolver cualquier discrepancia con respecto a la interpretación y/o ejecución de las disposiciones de este Contrato de Procesador de Tratamiento, las Partes se someten a la jurisdicción de los Tribunales de Valencia Capital, renunciando expresamente a cualquier otra legislación o jurisdicción que pueda corresponder a las notificaciones. Las partes se comprometen a comunicarse, preferentemente y habitualmente, por correo electrónico a las siguientes direcciones:
– El Gestor: legal@globeid.net

– El Responsable: el correo electrónico del administrador principal del producto contratado o el de uso habitual entre las partes.

17. Aceptación

Las Partes acuerdan que pueden hacer uso de la firma electrónica simple para firmar este Contrato de Procesador y, en consecuencia, aceptan y reconocen que el uso de la firma electrónica simple tendrá la misma validez que la firma manuscrita en papel para la perfección del mismo.