Acuerdo de procesamiento de datos
De acuerdo con los requisitos del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, "RGPD"), el Proveedor (en adelante, "Encargado del tratamiento") y Usted (en adelante, "Responsable del tratamiento") establecen una relación contractual sobre tratamiento de datos para definir los términos y condiciones del tratamiento de datos personales, la forma de proteger esos datos y otros derechos y obligaciones de ambas partes respecto al tratamiento de datos personales de los interesados en nombre del Responsable del tratamiento con respecto al objeto de estos Términos como contrato principal.
1. Tratamiento de datos personales. Entre los servicios prestados de acuerdo con estos Términos, se puede incluir el tratamiento de información relativa a una persona física identificada o identificable indicada en la Política de privacidad (en adelante, "Datos personales").
2. Autorización. El Responsable del tratamiento autoriza al Encargado del tratamiento a tratar los Datos personales, incluidas las siguientes instrucciones:
(i) "Finalidad del tratamiento" es la prestación de servicios de acuerdo con estos Términos. El Encargado del tratamiento solo puede procesar los Datos personales en nombre del Responsable del tratamiento en relación con la prestación de servicios solicitada por este. Toda la información recopilada con fines adicionales se procesa fuera de la relación contractual Controlador-Encargado del tratamiento.
(ii) Período de tratamiento es el período comprendido entre el inicio de la cooperación mutua de acuerdo con estos Términos y la finalización de los servicios.
(iii) Alcance y categorías de los datos personales. Los Servicios están diseñados únicamente para el tratamiento de datos personales generales. Sin embargo, el Responsable del tratamiento es el único responsable de la determinación del alcance de los datos personales.
(iv) "Interesado" es la persona física en tanto usuario autorizado de los dispositivos del Responsable del tratamiento.
(v) Operaciones de tratamiento son todas las operaciones necesarias para el tratamiento.
(vi) "Instrucciones documentadas" son las instrucciones descritas en estos Términos, sus Anexos, la Política de privacidad y la documentación del servicio. El Responsable del tratamiento se encargará de la legalización del tratamiento de los Datos personales por parte del Encargado del tratamiento en relación con las correspondientes disposiciones aplicables de la ley de protección de datos.
3. Obligaciones del Encargado del tratamiento. El Encargado del tratamiento está obligado a:
(i) Procesar los Datos personales solo de acuerdo con las instrucciones documentadas y con el fin definido en los Términos, sus Anexos, la Política de privacidad y la documentación de servicio.
(ii) Dar instrucciones a las personas autorizadas para tratar los Datos personales (en adelante, las "Personas autorizadas") sobre sus derechos y obligaciones en virtud del RGPD, sobre su responsabilidad en caso de infracción, y a garantizar que las Personas autorizadas se han comprometido a mantener la confidencialidad y seguir las instrucciones Documentadas.
(iii) Implementar y seguir las medidas descritas en los Términos, sus Anexos, la Política de privacidad y la documentación de servicio.
(iv) Ayudar al Responsable del tratamiento a responder a las solicitudes de los Interesados relacionadas con sus derechos. El Encargado del tratamiento no corregirá, eliminará ni restringirá el tratamiento de los Datos personales sin las instrucciones del Responsable del tratamiento. Todas las solicitudes del Interesado relacionadas con los Datos personales procesados en nombre del Responsable del tratamiento se remitirán al Responsable del tratamiento sin demora.
(v) Ayudar al Responsable del tratamiento en la notificación de una infracción de los Datos personales a la autoridad supervisora y al Interesado. El Encargado del tratamiento debe informar al Responsable del tratamiento de cualquier infracción del tratamiento de los Datos personales o de la seguridad de los datos personales inmediatamente después de tener constancia de dicha infracción. El Encargado del tratamiento deberá colaborar, en la medida de lo posible, en la investigación y corrección de dicha infracción, y adoptará medidas razonables para limitar otras implicaciones negativas.
(vi) Según decida el Responsable del tratamiento, eliminar o devolver todos los Datos personales al Responsable del tratamiento una vez que finalice el Periodo de tratamiento. El Responsable del tratamiento se compromete a informar al Encargado del tratamiento de su decisión en el plazo de diez (10) días después de la finalización del Periodo de tratamiento. Esta disposición no afectará al derecho del Encargado del tratamiento de mantener los Datos personales en la medida necesaria con fines de archivado por interés público, fines de investigación, con fines estadísticos o con fines de divulgación, ejercicio o defensa de procedimientos legales.
(vii) Mantener un registro actualizado de todas las categorías de actividades de tratamiento realizadas en nombre del Responsable del tratamiento.
(viii) Poner toda la información necesaria para demostrar el cumplimiento de los Términos, sus Anexos, la Política de privacidad y la documentación del servicio a disposición del Responsable del tratamiento. En caso de auditoría o control del tratamiento de los Datos personales por parte del Responsable del tratamiento, el Responsable del tratamiento está obligado a informar al Encargado del tratamiento por escrito con una antelación mínima de treinta (30) días antes de la auditoría o el control planificados.
4. Participación de otro Encargado del tratamiento. El Encargado del tratamiento tiene derecho a solicitar la participación de otro Encargado del tratamiento para realizar actividades de tratamiento específicas, como proporcionar infraestructura y almacenamiento en la nube para el servicio de acuerdo con estos Términos, sus Anexos, la Política de privacidad y la documentación del servicio. Microsoft ofrece actualmente almacenamiento en la nube e infraestructura como parte de Azure Cloud Service. Incluso en este caso, el Encargado del tratamiento seguirá siendo el único punto de contacto y la parte responsable del cumplimiento de la normativa. Por la presente, el Encargado del tratamiento se compromete a informar al Responsable del tratamiento de posibles adiciones o sustituciones de otro encargado del tratamiento, por si decidiera oponerse a dicho cambio.
5. Territorio del tratamiento. El Encargado del tratamiento garantiza que el tratamiento tiene lugar en el Espacio Económico Europeo o en un país considerado seguro por la Comisión Europea de acuerdo con la decisión del Responsable del tratamiento. En caso de transferencias y tratamiento que tengan lugar fuera del Espacio Económico Europeo o de un país considerado seguro por la Comisión Europea a petición del Responsable del tratamiento, se aplican las cláusulas contractuales tipo.
6. Seguridad. El Encargado del tratamiento cuenta con la certificación ISO 27001:2013 y usa el marco de referencia ISO 27001 para implementar una estrategia de seguridad por capas al aplicar controles de seguridad en las capas de red, sistemas operativos, bases de datos, aplicaciones, personal y procesos operativos. El cumplimiento de los requisitos normativos y contractuales se evalúa y revisa con regularidad, de forma similar a lo que sucede con otras operaciones e infraestructuras del Encargado del tratamiento, y se dan los pasos necesarios para garantizar dicho cumplimiento en todo momento. El Encargado del tratamiento ha organizado la seguridad de los datos mediante ISMS según la norma ISO 27001. La documentación de seguridad incluye principalmente documentos de políticas sobre seguridad de la información, seguridad física y seguridad del equipo, gestión de incidentes, gestión de filtraciones de datos e incidentes de seguridad, etc.
7. Medidas técnicas y organizativas. El Encargado del tratamiento protegerá los Datos personales contra daños y destrucción, pérdidas, cambios, acceso y revelación no autorizadas de los Datos personales. A tal fin, el Encargado del tratamiento deberá adoptar las medidas técnicas y organizativas adecuadas correspondientes al modo de tratamiento y al riesgo que presenta el tratamiento para los derechos de los Interesados, de acuerdo con los requisitos que marca el RGPD. En la Política de seguridad se expone una descripción detallada de las medidas técnicas y organizativas.
8. Datos de contacto del Encargado del tratamiento. Todas las notificaciones, solicitudes, demandas y demás comunicaciones relativas a la protección de Datos personales deben dirigirse a ESET, spol. s.r.o., attention of: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.