Data Processing Agreement
De acuerdo con los requisitos de la Regulación (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016, sobre la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de estos datos, la cual deroga la Directiva 95/46/CE (en adelante denominada "RGPD"), el Proveedor (en adelante denominado el "Procesador") y el Usuario (en adelante denominado el "Controlador") celebran este contrato de procesamiento de datos con el objetivo de definir los términos y las condiciones del procesamiento de datos personales y el modo de protección, así como también, para definir los otros derechos y obligaciones de ambas partes en relación con el procesamiento de datos personales de los titulares de datos, realizado en representación del Controlador, en el marco del cumplimiento del objeto de estos Términos, como contrato principal.
1. Procesamiento de datos personales. Los servicios provistos en cumplimiento de estos Términos incluyen el procesamiento de información relacionada con un individuo identificado o identificable, enumerada en la Política de privacidad (en adelante denominada "Datos personales").
2. Autorización. El Controlador autoriza al Procesador a procesar datos personales, lo cual incluye lo siguiente:
(i) "propósito del procesamiento" significa la provisión de servicios de conformidad con estos Términos; El Procesador solo puede procesar los Datos personales en nombre del Controlador en relación con la prestación de servicios solicitada por el Controlador. Toda la información recopilada con fines adicionales se procesa fuera de la relación contractual Controlador-Procesador.
(ii) "periodo de procesamiento" significa el periodo que comienza con el inicio de la cooperación, de conformidad con estos Términos, hasta la finalización de los servicios;
(iii) el alcance y las categorías de los datos personales incluyen los datos personales generales, con excepción de las categorías especiales de datos personales;
(iv) "titular de datos" significa un individuo que actúa como usuario autorizado de los dispositivos del Controlador;
(v) "operaciones de procesamiento" significa todas y cada una de las operaciones necesarias a los efectos del procesamiento;
(iv) "instrucciones documentadas" significa las instrucciones descritas en estos Términos, los anexos, la política de privacidad y la documentación del servicio. El Controlador será responsable de la admisibilidad legal de procesamiento de los Datos personales por parte del Procesador en relación con las correspondientes disposiciones aplicables de la ley de protección de datos.
3. Obligaciones del Procesador. El Procesador tiene las siguientes obligaciones:
(i) procesar los Datos personales solo de acuerdo con las instrucciones documentadas y con el fin definido en los Términos, sus Anexos, la Política de privacidad y la documentación de servicio;
(ii) garantizar que las personas autorizadas a procesar los Datos personales se hayan comprometido a mantener la confidencialidad y a seguir las instrucciones documentadas;
(iii) implementar y seguir las medidas descritas en los Términos, sus Anexos, la Política de privacidad y la documentación de servicio;
(iv) ayudar al Controlador a responder las solicitudes de los Interesados en relación con sus derechos. El Procesador no corregirá, eliminará ni restringirá el procesamiento de los Datos personales sin las instrucciones del Controlador; Todas las solicitudes del Interesado en relación con los Datos personales procesados en nombre del Controlador se enviarán a este sin demora;
(v) ayudar al Controlador en la notificación de una filtración de Datos personales a la autoridad supervisora y al Interesado;
(vi) eliminar o devolver todos los Datos personales al Controlador una vez que finalice el Periodo de procesamiento.
(vii) mantener un registro actualizado de todas las categorías de las actividades de procesamiento que ha realizado en representación del Controlador;
(viii) presentar toda la información necesaria para demostrar el cumplimiento como parte de los Términos, sus Anexos, la Política de privacidad y la documentación de servicio a disposición del Controlador.
4. Contratación de otro Procesador. El Procesador tiene derecho a contratar a otro procesador para que realice actividades de procesamiento específicas, como la provisión de almacenamiento e infraestructura en la nube para el servicio, de conformidad con los Términos, sus Anexos, la Política de privacidad y la documentación de servicio. Actualmente, Microsoft ofrece almacenamiento e infraestructura en la nube como parte del servicio en la nube de Azure. Incluso en este caso, el Procesador seguirá siendo el único punto de contacto y el responsable del cumplimiento.
5. Ámbito de procesamiento. El Procesador garantiza que el procesamiento se llevará a cabo en el Espacio Económico Europeo o en un país designado como seguro por la Comisión Europea, en función de la decisión del Controlador. Las Disposiciones contractuales estándar se aplicarán en el caso de que se produzcan transferencias y actividades de procesamiento fuera del Espacio Económico Europeo o de un país designado como seguro por la Comisión Europea, a solicitud del Controlador.
6. Seguridad. El Procesador posee la certificación de la norma ISO 27001:2013 y adopta el marco de la norma ISO 27001 con el fin de implementar una estrategia de seguridad basada en la defensa en capas, al momento de aplicar los controles de seguridad en la capa de la red, los sistemas operativos, las bases de datos, las aplicaciones, y los procesos operativos y de personal. El cumplimiento de los requisitos contractuales y regulatorios se evalúa y se revisa de manera periódica, al igual que otras infraestructuras y otros operaciones del Procesador. Además, se toman las medidas necesarias para garantizar el cumplimiento continuo. El Procesador ha organizado la seguridad de los datos con el Sistema de Gestión de la Seguridad de la Información (SGSI), en función de la norma ISO 27001. La documentación sobre seguridad incluye, principalmente, políticas sobre seguridad de la información, protección física y seguridad del equipamiento, gestión de incidentes, gestión de pérdida de datos e incidentes de seguridad, etc.
7. Información de contacto del Procesador. Todas las notificaciones, las solicitudes, los pedidos y otras comunicaciones relativas a la protección de los datos personales deben dirigirse a ESET, spol. s.r.o., con los siguientes datos: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.