Contrato de procesamiento de datos
Fecha de entrada en vigor: 29 de septiembre de 2023 | Vea una versión anterior del Contrato de procesamiento de datos | Comparar cambios
De acuerdo con los requisitos de la Regulación (UE) 2016/679 del Parlamento Europeo y del Consejo del 27 de abril de 2016, sobre la protección de las personas físicas en lo que respecta al procesamiento de datos personales y a la libre circulación de estos datos, la cual deroga la Directiva 95/46/CE (en adelante denominada "RGPD"), el Proveedor (en adelante denominado el "Procesador") y el Usuario (en adelante denominado el "Controlador") celebran este contrato de procesamiento de datos con el objetivo de definir los términos y las condiciones del procesamiento de datos personales y el modo de protección, así como también, para definir los otros derechos y obligaciones de ambas partes en relación con el procesamiento de datos personales de los titulares de datos, realizado en representación del Controlador, en el marco del cumplimiento del objeto de estos Términos, como contrato principal.
1. Procesamiento de datos personales. Los servicios provistos en cumplimiento de estos Términos incluyen el procesamiento de información relacionada con un individuo identificado o identificable, enumerada en la Política de privacidad (en adelante denominada "Datos personales").
2. Autorización. El Controlador autoriza al Procesador a procesar datos personales, lo cual incluye lo siguiente:
(i) "propósito del procesamiento" significa la provisión de servicios de conformidad con estos Términos; El Procesador solo puede procesar los Datos personales en nombre del Controlador en relación con la prestación de servicios solicitada por el Controlador. Toda la información recopilada con fines adicionales se procesa fuera de la relación contractual Controlador-Procesador.
(ii) "periodo de procesamiento" significa el periodo que comienza con el inicio de la cooperación, de conformidad con estos Términos, hasta la finalización de los servicios;
(iii) alcance y categorías de los datos personales. Los Servicios están previstos solo para el procesamiento de datos personales generales. Sin embargo, el Controlador es el único responsable de la determinación del alcance de los datos personales.
(iv) "titular de datos" significa un individuo que actúa como usuario autorizado de los dispositivos del Controlador;
(v) "operaciones de procesamiento" significa todas y cada una de las operaciones necesarias a los efectos del procesamiento;
(iv) "instrucciones documentadas" significa las instrucciones descritas en estos Términos, los anexos, la política de privacidad y la documentación del servicio. El Controlador será responsable de la admisibilidad legal de procesamiento de los Datos personales por parte del Procesador en relación con las correspondientes disposiciones aplicables de la ley de protección de datos.
3. Obligaciones del Procesador. El Procesador tiene las siguientes obligaciones:
(i) procesar los Datos personales solo de acuerdo con las instrucciones documentadas y con el fin definido en los Términos, sus Anexos, la Política de privacidad y la documentación de servicio;
Indicar a las personas autorizadas para procesar los Datos personales (en lo sucesivo, "Personas autorizadas") sus derechos y deberes de conformidad con la GDPR, su responsabilidad en caso de incumplimiento de los deberes y garantizar que las Personas autorizadas para procesar los Datos personales se hayan comprometido a guardar la confidencialidad y a acatar las instrucciones documentadas.
(iii) implementar y seguir las medidas descritas en los Términos, sus Anexos, la Política de privacidad y la documentación de servicio;
(iv) ayudar al Controlador a responder las solicitudes de los Interesados en relación con sus derechos. El Procesador no corregirá, eliminará ni restringirá el procesamiento de los Datos personales sin las instrucciones del Controlador; Todas las solicitudes del Interesado en relación con los Datos personales procesados en nombre del Controlador se enviarán a este sin demora;
(v) ayudar al Controlador en la notificación de una filtración de Datos personales a la autoridad supervisora y al Interesado; El Procesador notificará al Controlador toda infracción del procesamiento de datos personales o de la seguridad de los datos personales inmediatamente después de su descubrimiento. El Procesador cooperará en la medida de lo razonable en la investigación y la corrección de dicha infracción y adoptará medidas razonables para limitar las consecuencias negativas ulteriores.
(vi) a discreción del Controlador, eliminar o devolver todos los Datos personales al Controlador una vez que finalice el Periodo de procesamiento. El Controlador se compromete a informar al Procesador su decisión en un plazo de diez (10) días después de la finalización del Período de procesamiento. Esta disposición no afectará al derecho del Procesador a conservar los Datos personales en la medida necesaria para fines de archivo por motivos de interés público, investigación científica, estadísticas o el establecimiento, el ejercicio o la defensa de reclamos legales.
(vii) mantener un registro actualizado de todas las categorías de las actividades de procesamiento que ha realizado en representación del Controlador;
(viii) presentar toda la información necesaria para demostrar el cumplimiento como parte de los Términos, sus Anexos, la Política de privacidad y la documentación de servicio a disposición del Controlador. En caso de auditoría o control del procesamiento de Datos personales por parte del Controlador, este estará obligado a informar al Procesador por escrito al menos diez (30) días antes de la auditoría o control previstos.
4. Contratación de otro Procesador. El Procesador tiene derecho a contratar a otro procesador para que realice actividades de procesamiento específicas, como la provisión de almacenamiento e infraestructura en la nube para el servicio, de conformidad con los Términos, sus Anexos, la Política de privacidad y la documentación de servicio. Actualmente, Microsoft ofrece almacenamiento e infraestructura en la nube como parte del servicio en la nube de Azure. Incluso en este caso, el Procesador seguirá siendo el único punto de contacto y el responsable del cumplimiento. El Procesador se compromete a informar al Controlador toda adición o sustitución de otro Procesador a los efectos de la posibilidad de oposición a dicho cambio.
5. Ámbito de procesamiento. El Procesador garantiza que el procesamiento se llevará a cabo en el Espacio Económico Europeo o en un país designado como seguro por la Comisión Europea, en función de la decisión del Controlador. Las Disposiciones contractuales estándar se aplicarán en el caso de que se produzcan transferencias y actividades de procesamiento fuera del Espacio Económico Europeo o de un país designado como seguro por la Comisión Europea, a solicitud del Controlador.
6. Seguridad. El Procesador posee la certificación de la norma ISO 27001:2013 y adopta el marco de la norma ISO 27001 con el fin de implementar una estrategia de seguridad basada en la defensa en capas, al momento de aplicar los controles de seguridad en la capa de la red, los sistemas operativos, las bases de datos, las aplicaciones, y los procesos operativos y de personal. El cumplimiento de los requisitos contractuales y regulatorios se evalúa y se revisa de manera periódica, al igual que otras infraestructuras y otros operaciones del Procesador. Además, se toman las medidas necesarias para garantizar el cumplimiento continuo. El Procesador ha organizado la seguridad de los datos con el Sistema de Gestión de la Seguridad de la Información (SGSI), en función de la norma ISO 27001. La documentación sobre seguridad incluye, principalmente, políticas sobre seguridad de la información, protección física y seguridad del equipamiento, gestión de incidentes, gestión de pérdida de datos e incidentes de seguridad, etc.
7. Medidas técnicas y organizativas. El Procesador protegerá los Datos personales de daños y destrucción fortuitos e ilícitos, pérdida fortuita, cambios, acceso no autorizado y divulgación. En tal sentido, el Procesador adoptará las medidas técnicas y organizativas adecuadas al modo de procesamiento y al riesgo que presente el procesamiento para los derechos de los Interesados, de conformidad con los requisitos de la GDPR. En la Política de seguridad, se incluye una descripción detallada de las medidas técnicas y organizativas.
8. Información de contacto del Procesador. Todas las notificaciones, las solicitudes, los pedidos y otras comunicaciones relativas a la protección de los datos personales deben dirigirse a ESET, spol. s.r.o., con los siguientes datos: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.