Acuerdo de procesamiento de datos
De acuerdo con los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, "RGPD"), el Proveedor (en adelante, "Encargado del tratamiento") y Usted (en adelante, "Responsable del tratamiento") establecen una relación contractual sobre tratamiento de datos para definir los términos y condiciones del tratamiento de datos personales, la forma de proteger esos datos y otros derechos y obligaciones de ambas partes respecto al tratamiento de datos personales de los interesados en nombre del Responsable del tratamiento con respecto al objeto de estos Términos como contrato principal.
1. Tratamiento de datos personales. Entre los servicios prestados de acuerdo con estos Términos, se puede incluir el tratamiento de información relativa a una persona física identificada o identificable indicada en la Política de privacidad (en adelante, "Datos personales").
2. Autorización. El Responsable del tratamiento autoriza al Encargado del tratamiento a tratar los Datos personales, incluidas las siguientes instrucciones:
(i) "Finalidad del tratamiento" es la prestación de servicios de acuerdo con estos Términos. El Encargado del tratamiento solo puede procesar los Datos personales en nombre del Responsable del tratamiento en relación con la prestación de servicios solicitada por este. Toda la información recopilada con fines adicionales se procesa fuera de la relación contractual Controlador-Encargado del tratamiento.
(ii) Período de tratamiento es el período comprendido entre el inicio de la cooperación mutua de acuerdo con estos Términos y la finalización de los servicios.
(iii) En el alcance y las categorías de los Datos personales se incluyen datos personales generales, y se excluyen todas las categorías especiales de Datos personales.
(iv) "Interesado" es la persona física en tanto usuario autorizado de los dispositivos del Responsable del tratamiento.
(v) Operaciones de tratamiento son todas las operaciones necesarias para la finalidad del tratamiento.
(vi) "Instrucciones documentadas" son las instrucciones descritas en estos Términos, sus Anexos, la Política de privacidad y la documentación del servicio. El Responsable del tratamiento se encargará de la legalización del tratamiento de los Datos personales por parte del Encargado del tratamiento en relación con las correspondientes disposiciones aplicables de la ley de protección de datos.
3. Obligaciones del Encargado del tratamiento. El Encargado del tratamiento está obligado a:
(i) Procesar los Datos personales solo de acuerdo con las instrucciones documentadas y con el fin definido en los Términos, sus Anexos, la Política de privacidad y la documentación de servicio.
(ii) Garantizar que las personas autorizadas a tratar los Datos personales se comprometan a mantener su confidencialidad y seguir las instrucciones documentadas.
(iii) Implementar y seguir las medidas descritas en los Términos, sus Anexos, la Política de privacidad y la documentación de servicio.
(iv) Ayudar al Responsable del tratamiento a responder a las solicitudes de los Interesados relacionadas con sus derechos. El Encargado del tratamiento no corregirá, eliminará ni restringirá el tratamiento de los Datos personales sin las instrucciones del Responsable del tratamiento. Todas las solicitudes del Interesado relacionadas con los Datos personales procesados en nombre del Responsable del tratamiento se remitirán al Responsable del tratamiento sin demora.
(v) Ayudar al Responsable del tratamiento en la notificación de una infracción de los Datos personales a la autoridad supervisora y al Interesado.
(vi) Eliminar o devolver todos los Datos personales al Responsable del tratamiento una vez que finalice el Periodo de tratamiento.
(vii) Mantener un registro actualizado de todas las categorías de actividades de tratamiento realizadas en nombre del Responsable del tratamiento.
(viii) Poner toda la información necesaria para demostrar el cumplimiento de los Términos, sus Anexos, la Política de privacidad y la documentación del servicio a disposición del Responsable del tratamiento.
4. Participación de otro Encargado del tratamiento. El Encargado del tratamiento tiene derecho a solicitar la participación de otro Encargado del tratamiento para realizar actividades de tratamiento específicas, como proporcionar infraestructura y almacenamiento en la nube para el servicio de acuerdo con estos Términos, sus Anexos, la Política de privacidad y la documentación del servicio. Microsoft ofrece actualmente almacenamiento en la nube e infraestructura como parte de Azure Cloud Service. Incluso en este caso, el Encargado del tratamiento seguirá siendo el único punto de contacto y la parte responsable del cumplimiento de la normativa.
5. Territorio del tratamiento. El Encargado del tratamiento garantiza que el tratamiento tiene lugar en el Espacio Económico Europeo o en un país considerado seguro por la Comisión Europea de acuerdo con la decisión del Responsable del tratamiento. En caso de transferencias y tratamiento que tengan lugar fuera del Espacio Económico Europeo o de un país considerado seguro por la Comisión Europea a petición del Responsable del tratamiento, se aplican las cláusulas contractuales tipo.
6. Seguridad. El Encargado del tratamiento cuenta con la certificación ISO 27001:2013 y usa el marco de referencia ISO 27001 para implementar una estrategia de seguridad por capas al aplicar controles de seguridad en las capas de red, sistemas operativos, bases de datos, aplicaciones, personal y procesos operativos. El cumplimiento de los requisitos normativos y contractuales se evalúa y revisa con regularidad, de forma similar a lo que sucede con otras operaciones e infraestructuras del Encargado del tratamiento, y se dan los pasos necesarios para garantizar dicho cumplimiento en todo momento. El Encargado del tratamiento ha organizado la seguridad de los datos mediante ISMS según la norma ISO 27001. La documentación de seguridad incluye principalmente documentos de políticas sobre seguridad de la información, seguridad física y seguridad del equipo, gestión de incidentes, gestión de filtraciones de datos e incidentes de seguridad, etc.
7. Datos de contacto del Encargado del tratamiento. Todas las notificaciones, solicitudes, demandas y demás comunicaciones relativas a la protección de Datos personales deben dirigirse a ESET, spol. s.r.o., attention of: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.