Acuerdo de protección de datos - Subcontratista/Procesador

Acuerdo de protección de datos

Subcontratista/Director de Tratamiento

TECH 4 TEAM - ARENAMETRIX
157 Boulevard Macdonald
LE CARGO
75019 PARIS
Tel : 01.42.81.41.85 - Email : compta@arenametrix.com

I - DEFINICIONES

A los efectos del presente documento y sin perjuicio de otras definiciones previstas en las Condiciones Especiales de Servicio (CPS) a las que se adjunta el presente Acuerdo de Protección de Datos (APD), los siguientes términos tendrán el significado que se indica a continuación:

  • " Datos ": todo tipo de información y/o datos a los que las Partes tienen acceso en el marco de las relaciones contractuales, sea cual sea el formato o el soporte, ya sean Datos Personales (definidos a continuación) o no (por ejemplo, datos financieros, de operadores, de clientes, de socios, estratégicos, técnicos, profesionales, administrativos, comerciales, jurídicos, contables, etc.)

 

  • " Datos personales ", cualquier información relativa a una persona física identificada o que pueda ser identificada como tal, ya sea directa o indirectamente mediante la agrupación de información, por referencia a un número de identificación o a elementos que le son propios: nombre, dirección, número de teléfono, dirección IP, dirección de correo electrónico, número de matrícula del vehículo, número profesional, nombre de usuario, contraseña, datos de conexión, etc.

 

  • " Datos sensibles Datos sensibles": se refiere a categorías especiales de datos cuyo tratamiento está prohibido en principio. Esto incluye los datos personales que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas o la pertenencia a un sindicato, así como el tratamiento de datos genéticos, datos biométricos con el fin de identificar de forma única a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

 

  • "Tercer país Se refiere a cualquier Estado que no sea miembro de la Unión Europea. Esta terminología también abarca cualquier organización internacional que incluya países no pertenecientes a la UE

 

  • " Objeto de los datos ": todas las personas cuyos datos personales son objeto de tratamiento.

 

  • " Controlador de datos "o" Cliente ", la persona que determina los medios y fines del tratamiento y que se ha suscrito a los Servicios ofrecidos por TECH 4 TEAM.

 

  • "Reglamento de protección de datos: Se refiere a la normativa vigente aplicable al Tratamiento de Datos Personales y, en particular:
    • Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, aplicable desde el 25 de mayo de 2018, conocido como "Reglamento General de Protección de Datos" (en adelante, "RGPD");
    • la ley "Informática y Libertades" n°78-17 de 6 de enero de 1978 modificada; 
    • cualquier legislación que entre en vigor y que pueda afectar a los tratamientos cubiertos por este PAD; 
    • las directrices de buenas prácticas publicadas por las autoridades reguladoras pertinentes o el Comité Europeo de Protección de Datos.

 

  • " Servicios " se refiere a todos los servicios ofrecidos por TECH 4 TEAM tal y como se describen en http://tech4team.fr/.

 

  • " Subprocesador ", la persona que trata los datos personales en nombre del Responsable del Tratamiento, actuando bajo la autoridad del Responsable del Tratamiento y siguiendo sus instrucciones. En este caso, de acuerdo con el artículo 11.2 (i) de las Condiciones Generales de Servicios, TECH 4 TEAM tendrá la condición de encargado de tratamiento en el sentido de la normativa.

 

  • " Procesamiento ": todas las operaciones relacionadas con la información, independientemente del proceso utilizado (automatizado o no automatizado). Esto incluye todas las formas de tratamiento de datos, ya sea en soporte informático o en otros medios (papel, vídeo, grabaciones de audio, etc.). Con respecto a los datos personales en particular, esto puede implicar operaciones de recogida, registro, organización, conservación, adaptación, modificación, extracción, consulta/visualización, difusión o puesta a disposición.

 

  • " Violación de datos personales ": una violación de la seguridad que tenga como resultado el acceso accidental o ilegal o la destrucción, pérdida, alteración o divulgación no autorizada de la información personal transmitida, almacenada o procesada.

II - OBJETIVO

El presente anexo tiene por objeto definir las condiciones en las que TECH 4 TEAM se compromete, en su calidad de subcontratista, a realizar las operaciones de tratamiento de datos personales definidas a continuación por cuenta del Responsable del Tratamiento. 

En el marco de su relación contractual, las partes se comprometen a cumplir la normativa vigente aplicable al tratamiento de datos personales y, en particular, el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo que entró en vigor el 25 de mayo de 2018 (en adelante, "el Reglamento Europeo de Protección de Datos "), la ley " Informática y libertades "ley n°78-17 de 6 de enero de 1978 modificada y el reglamento de la propiedad industrial e intelectual.

Queda expresamente entendido que este Anexo ha sido negociado entre las Partes.

III - DURACIÓN DEL CONTRATO

El presente Anexo entrará en vigor a partir de su firma y permanecerá vigente durante toda la relación contractual entre TECH 4 TEAM en su calidad de encargado del tratamiento y el Responsable del mismo.

El presente Acuerdo sustituye a cualquier cláusula aplicable en materia de protección de datos personales. En caso de contradicción, las Partes acuerdan expresamente que el presente Anexo prevalecerá sobre cualquier otro acuerdo relativo a los Servicios y Disposiciones.

IV - DESCRIPCIÓN DE LA OPERACIÓN DE TRATAMIENTO QUE SE EXTERNALIZA

La descripción de las operaciones de tratamiento encomendadas por el Responsable del Tratamiento a TECH 4 TEAM y sus instrucciones documentadas figuran en Anexo 1 del presente anexo. El tratamiento consiste en un tratamiento global: "Gestión y optimización de las relaciones con los clientes del Responsable del Tratamiento" y se desglosa en la subcontratación enAnexo 1.

No obstante, se precisa que TECH 4 TEAM no está destinado a albergar el tratamiento de datos sensibles, y además no cuenta con la autorización de "Alojamiento de datos sanitarios" prevista en el artículo L1111-8 del Código de la Salud Pública. El Encargado del Tratamiento que trate datos sensibles asumirá la plena y total responsabilidad de sus actos, sin que TECH 4 TEAM pueda ser considerado responsable. 

TECH 4 TEAM cumple con los plazos legales de conservación de los datos de sus clientes. De conformidad con el artículo L.123-22 del Código de Comercio francés, los datos del cliente se conservarán durante 10 años para establecer la prueba y 5 años para demostrar la existencia del contrato de conformidad con el artículo 2224 del Código Civil francés.

Asimismo, en lo que respecta a los datos del Titular generados en el marco de los Servicios y que son de su propiedad, TECH 4 TEAM no tiene la obligación de conservar dichos datos, ya que el Titular es el único responsable de definir la duración de la conservación de los datos y de realizar copias de seguridad periódicas. En este sentido, el Responsable del Tratamiento se compromete a facilitar a TECH 4 TEAM los plazos de conservación de cada categoría de datos cuyo tratamiento se delega en TECH 4 TEAM rellenandoAnexo 1.

En caso de finalización de la relación contractual, las modalidades de supresión de los datos se detallan en el artículo XIII "Destino de los datos al final de la relación contractual".

V - OBLIGACIONES GENERALES DE LAS PARTES

5.1. Obligaciones generales de TECH 4 TEAM

En general, TECH 4 TEAM se compromete a : 

  • procesar los datos únicamente para el fin o los fines para los que se subcontratan 
  • tratar los datos de acuerdo con las instrucciones documentadas del responsable del tratamiento que figuran en el apéndice del presente anexo. 
  • garantizar la confidencialidad de los datos personales tratados en virtud del presente anexo 
  • garantizar que las personas autorizadas a tratar datos personales en virtud del presente anexo : 
    • se comprometen a respetar la confidencialidad o están sujetos a una obligación legal adecuada de confidencialidad
    • recibir la formación necesaria sobre la protección de datos personales 
  • tener en cuenta los principios de protección de datos desde el diseño y de protección de datos por defecto para sus herramientas, productos, aplicaciones o servicios
  • designar a una persona de contacto que represente a TECH 4 TEAM. Esta persona de contacto debe tener la experiencia, la competencia, la autoridad y los recursos necesarios para llevar a cabo su tarea.
  • Adoptar las medidas necesarias relativas a la seguridad de los datos, tal y como se describe en el Apéndice 2,
  • Informar al responsable del tratamiento si, en su opinión, una instrucción constituye una infracción del Reglamento de Protección de Datos aplicable.

 

5.2 Obligaciones generales del responsable del tratamiento

En general, el responsable del tratamiento se compromete a : 

  • proporcionar a TECH 4 TEAM los datos mencionados en el punto IV de este anexo que sean necesarios para la subcontratación
  • documentar por escrito cualquier instrucción relativa al tratamiento o tratamientos de datos realizados por TECH 4 TEAM cumplimentando el Anexo 1
  • garantizar, previamente y a lo largo del tratamiento, que TECH 4 TEAM cumple con las obligaciones establecidas en el Reglamento Europeo de Protección de Datos
  • supervisar el tratamiento
  • designar una persona de contacto especial para representar al controlador. Esta persona de contacto debe tener la experiencia, la competencia, la autoridad y los medios necesarios para llevar a cabo su misión.

VI - CUMPLIMIENTO DE LAS INSTRUCCIONES

TECH 4 TEAM se compromete a seguir estrictamente las instrucciones formuladas por el Responsable del Tratamiento para la realización de los tratamientos previstos en la ejecución de los Servicios.

En caso de que sea imposible o difícil llevar a cabo determinadas instrucciones, TECH 4 TEAM informará al Responsable del Tratamiento lo antes posible. 

TECH 4 TEAM podrá solicitar por escrito que se desvíe de las instrucciones. TECH 4 TEAM deberá obtener la autorización específica previa y por escrito del Responsable del Tratamiento para poder realizar dicha desviación. 

VII - PERSONAL DEL EQUIPO TECH 4

7.1. Cualificación del personal

TECH 4 TEAM asignará equipos suficientes y cualificados con las competencias técnicas y/o funcionales necesarias para la prestación de los Servicios. Estos equipos recibirán formación sobre la normativa de protección de datos personales.

TECH 4 TEAM se compromete a mantener a los miembros clave de sus equipos durante la ejecución de los Servicios, salvo en caso de enfermedad, incapacidad temporal o dimisión. TECH 4 TEAM se encargará de que el know-how se transfiera de la persona sustituida al sustituto.

7.2. La no subordinación del personal

Se especifica que el personal de TECH 4 TEAM no estará vinculado al Responsable del Tratamiento en modo alguno por ninguna relación de subordinación. La única persona autorizada para tomar medidas disciplinarias, organizar el trabajo y, en general, resolver todos los problemas relacionados con la gestión del personal, es TECH 4 TEAM. El personal de TECH 4 TEAM quedará, por tanto, bajo la única autoridad, dirección y supervisión de TECH 4 TEAM, que, como empleador, será responsable de la gestión administrativa, contable y social de sus empleados y de velar por el cumplimiento de las normas e instrucciones de seguridad y salud.

7.3. DPO

Kévin Vitoz es el DPO de Tech4Team
kevin.vitoz@arenametrix.com
0142814185

VIII - SUBCONTRATACIÓN

TECH 4 TEAM utiliza dos subcontratistas: 

  • SendinBlue (enrutamiento de correo electrónico y sms) 

SendinBlue - 55 rue d'Amsterdam - 750008 Paris - TVA n° FR80498019298

Contrato renovable automáticamente cada año - Julien cros- julien@sendinblue.com - 0176440146

  • AWS (alojamiento) como subcontratistas. 

AWS EMEA SARL - 38 avenue John F Kennedy - L-1855 Luxemburgo

Contrato renovable automáticamente cada mes 

De conformidad con el artículo 28.2 del Reglamento Europeo de Protección de Datos, el Responsable del Tratamiento autoriza expresamente a TECH 4 TEAM a utilizar otros encargados del tratamiento (en adelante, "subencargados") para el tratamiento de los datos. otros procesadores ") para llevar a cabo actividades específicas de tratamiento en relación con la prestación de sus servicios. TECH 4 TEAM informará al Responsable del Tratamiento, con antelación y por escrito, de cualquier cambio previsto en cuanto a la incorporación o sustitución de otros encargados del tratamiento.

Esta información indicará claramente las actividades de tratamiento subcontratadas, la identidad y los datos de contacto del subcontratista y las fechas de la subcontratación.

El responsable del tratamiento dispondrá de un plazo de quince (15) días, a partir de la fecha de recepción de esta información, para formular objeciones. Esta subcontratación sólo podrá llevarse a cabo si el responsable del tratamiento no ha planteado ninguna objeción en el plazo acordado. Se acuerda expresamente que, en caso de silencio por parte del Responsable del Tratamiento, éste se considerará como una aceptación del posterior tramitador.

El subencargado del tratamiento cumplirá las obligaciones del presente anexo por cuenta y según las instrucciones del responsable del tratamiento. TECH 4 TEAM es responsable de que el subencargado del tratamiento ofrezca las mismas garantías suficientes en cuanto a la aplicación de las medidas técnicas y organizativas adecuadas para que el tratamiento cumpla con los requisitos del Reglamento Europeo de Protección de Datos.

Si el subencargado del tratamiento no cumple con sus obligaciones en materia de protección de datos, TECH 4 TEAM seguirá siendo plenamente responsable ante el Responsable del Tratamiento del cumplimiento de sus obligaciones por parte del otro subencargado.

IX - INFORMACIÓN A LOS INTERESADOS Y GESTIÓN DE LOS DERECHOS

9.1 Información a las personas
Es responsabilidad del responsable del tratamiento proporcionar información a las personas afectadas por las operaciones de tratamiento que lleva a cabo en el momento de la recogida de datos, de conformidad con los artículos 13 y siguientes del Reglamento Europeo de Protección de Datos y el artículo 32 de la Ley nº 78-17 de 6 de enero de 1978 modificada.

9.2 Gestión de derechos
En la medida de lo posible, TECH 4 TEAM asistirá al responsable del tratamiento en el cumplimiento de su obligación de atender las solicitudes de ejercicio de los derechos de los interesados: derecho de acceso, rectificación, supresión y oposición, derecho a la limitación del tratamiento, derecho a la portabilidad de los datos, derecho a no ser objeto de una decisión individual automatizada (incluida la elaboración de perfiles), derecho a organizar el destino de sus datos personales después del fallecimiento, en particular.

Se trata de una obligación de medios que excluye cualquier obligación de resultado. TECH 4 TEAM hará todo lo posible por cooperar con el Encargado del Tratamiento en las tareas que éste le encomiende.

En el caso de que los interesados soliciten a TECH 4 TEAM el ejercicio de sus derechos, TECH 4 TEAM enviará estas solicitudes dentro de las veinticuatro (24) horas siguientes a su recepción por correo electrónico a ................................. en la siguiente dirección de correo electrónico: ...............................................

X - ASISTENCIA Y ASESORAMIENTO SOBRE EL CUMPLIMIENTO DE LA NORMATIVA

TECH 4 TEAM utilizará todos los medios necesarios para asistir al responsable del tratamiento en la realización de las evaluaciones de impacto de la protección de datos y en la realización de la consulta previa a la autoridad de control.

Tan pronto como TECH 4 TEAM tenga conocimiento de una práctica llevada a cabo por el Responsable del Tratamiento que considere contraria a la normativa de protección de datos de carácter personal, informará al Responsable del Tratamiento por vía electrónica.

XI - MEDIDAS DE SEGURIDAD

TECH 4 TEAM se compromete a aplicar las medidas de seguridad establecidas en Anexo 2 "Compromisos de seguridad" del presente anexo.

XII - VIOLACIÓN DE DATOS PERSONALES

TECH 4 TEAM notificará al Responsable del Tratamiento cualquier violación de los datos personales en un plazo máximo de setenta y dos [72] horas desde que tenga conocimiento de la misma por correo electrónico y por carta con acuse de recibo. 

Esta notificación irá acompañada de toda la documentación útil para que el responsable del tratamiento pueda, en su caso, notificar la violación a la autoridad de control competente.

El DPO y/o el representante de TECH 4 TEAM participarán, a petición del Responsable del Tratamiento, en el comité de crisis que pueda crear el Responsable del Tratamiento y que se reunirá cuando se produzca una violación de datos personales.

Con el consentimiento expreso del Responsable del Tratamiento, TECH 4 TEAM podrá estar obligado a notificar a la autoridad de control competente (la CNIL), en nombre y por cuenta del Responsable del Tratamiento, las violaciones de los datos personales que afecten a los Servicios lo antes posible y, si es posible, a más tardar en las setenta y dos [72] horas siguientes a su conocimiento. Los gastos derivados de esta notificación correrán a cargo del interventor.

La notificación contendrá al menos :

  • una descripción de la naturaleza de la violación de los datos personales, incluyendo, si es posible, las categorías y el número aproximado de personas afectadas por la violación y las categorías y el número aproximado de registros de datos personales afectados;
  • el nombre y los datos de contacto del responsable de la protección de datos u otro punto de contacto del que pueda obtenerse más información;
  • una descripción de las consecuencias probables de la violación de los datos personales;
  • una descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para hacer frente a la violación de los datos personales, incluidas, en su caso, las medidas para mitigar las consecuencias negativas. 

Si, y en la medida en que, no es posible proporcionar toda esta información al mismo tiempo, la información puede ser proporcionada de manera escalonada sin demora indebida. 

Con el consentimiento expreso del responsable del tratamiento, TECH 4 TEAM también comunicará, en nombre y por cuenta del responsable del tratamiento, la violación de los datos personales al interesado a la mayor brevedad posible, cuando la violación afecte a los Servicios y pueda suponer un alto riesgo para los derechos y libertades de una persona. Los gastos derivados de esta comunicación correrán a cargo del interventor.

La comunicación al interesado describirá en términos claros y sencillos la naturaleza de la violación de los datos personales y contendrá al menos :

  • una descripción de la naturaleza de la violación de los datos personales, incluyendo, si es posible, las categorías y el número aproximado de personas afectadas por la violación y las categorías y el número aproximado de registros de datos personales afectados;
  • el nombre y los datos de contacto del responsable de la protección de datos u otro punto de contacto del que pueda obtenerse más información;
  • una descripción de las consecuencias probables de la violación de los datos personales;
  • una descripción de las medidas adoptadas o propuestas por el responsable del tratamiento para hacer frente a la violación de los datos personales, incluidas, en su caso, las medidas para mitigar las consecuencias negativas.

XIII - DESTINO DE LOS DATOS AL FINAL DE LA RELACIÓN CONTRACTUAL

Los datos de los clientes del Responsable del Tratamiento serán destruidos por TECH 4 TEAM en caso de finalización de la relación por cualquier motivo, de acuerdo con el artículo 7.4 de las Condiciones Generales de Servicio.

XIV - MANTENIMIENTO DEL REGISTRO DE ACTIVIDADES DE TRATAMIENTO

TECH 4 TEAM declara que mantiene un registro escrito de todas las categorías de actividades de tratamiento realizadas por cuenta del Responsable del Tratamiento, incluyendo

  • el nombre y los datos de contacto del responsable del tratamiento en cuyo nombre actúa, de los posibles subcontratistas y, en su caso, del responsable de la protección de datos;
  • las categorías de tratamiento realizadas por cuenta del Responsable del Tratamiento;
  • en su caso, las transferencias de datos personales a un tercer país o a una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias a que se refiere el artículo 49, apartado 1, párrafo segundo, del Reglamento Europeo de Protección de Datos, los documentos que acrediten la existencia de garantías adecuadas ;
  • en la medida de lo posible, una descripción general de las medidas de seguridad técnicas y organizativas, que incluya, entre otras cosas, según proceda:
    • la seudonimización y el cifrado de los datos personales;
    • medios para garantizar la continuidad de la confidencialidad, la integridad, la disponibilidad y la resistencia de los sistemas y servicios de procesamiento;
    • medios para restablecer la disponibilidad y el acceso a los datos personales en un plazo adecuado en caso de incidente físico o técnico;
    • un procedimiento para probar, analizar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

TECH 4 TEAM pondrá a disposición del Interventor la documentación necesaria para demostrar el cumplimiento de todas sus obligaciones y para permitir y ayudar en las auditorías, incluidas las inspecciones, de un auditor debidamente encargado por las Partes.

XV - TRANSFERENCIAS DE DATOS FUERA DE LA UNIÓN EUROPEA

En el caso de que TECH 4 TEAM deba transferir datos a un Tercer País o a una organización internacional en virtud del derecho de la UE o del derecho del Estado miembro al que está sujeto, informará al Responsable del Tratamiento de esta obligación legal antes de la transferencia, a menos que la ley en cuestión prohíba dicha información por motivos importantes de interés público.

XVI - PROPIEDAD DE LOS DATOS

Salvo acuerdo expreso en contrario, el Responsable del Tratamiento sigue siendo el único propietario de los datos resultantes de su uso de los Servicios.
Las estadísticas anonimizadas resultantes de su uso de los Servicios, aunque compartidas con el Responsable del Tratamiento, son propiedad de TECH 4 TEAM de acuerdo con el artículo 11-2 (ii) de las Condiciones Generales de los Servicios.

XVII - RESPONSABILIDAD

Dada la naturaleza de las actividades respectivas de las Partes, los riesgos asociados a estas actividades y la contraprestación que cada Parte obtiene del Contrato, se acuerda que los riesgos implicados se repartirán de la siguiente manera.

En el caso de que TECH 4 TEAM sea responsable ante el Titular de los datos o ante cualquier tercero como consecuencia de la ejecución indebida o del incumplimiento por parte de TECH 4 TEAM de sus obligaciones contractuales, TECH 4 TEAM será responsable de los daños directos sufridos por el Titular de los datos con exclusión de los daños indirectos.

De acuerdo con sus compromisos contractuales de calidad de servicio, TECH 4 TEAM utilizará todos los medios necesarios para garantizar la seguridad del tratamiento. TECH 4 TEAM sólo podrá ser considerado responsable de los daños directamente relacionados con un fallo de seguridad imputable a sus Servicios y que provoque indisponibilidad, pérdida de trazabilidad, dudas sobre la integridad o falta de confidencialidad de los datos personales. 

No obstante, se acuerda expresamente entre las Partes que no existe el riesgo cero en materia de seguridad y que los compromisos de seguridad asumidos por TECH 4 TEAM constituyen una obligación de medios con exclusión de cualquier obligación de resultado.

Se acuerda expresamente entre las Partes que el Responsable del Tratamiento sólo podrá exigir la responsabilidad de TECH 4 TEAM durante un periodo de seis (6) meses desde la fecha de conocimiento del daño. 

Las Partes acuerdan expresamente que las limitaciones de responsabilidad mencionadas en este artículo seguirán vigentes tras la finalización del Contrato, sea cual sea el motivo.

XVIII - CONFIDENCIALIDAD

Los compromisos de confidencialidad de las Partes se detallan en el artículo 12 de las Condiciones Generales de Servicio.

XIX - AUDITORÍA

Con el fin de medir objetivamente la seguridad del tratamiento de datos implementado a través del uso de los Servicios, el Responsable del Tratamiento podrá hacer que se realicen auditorías de seguridad a su cargo, incluyendo pruebas de intrusión, en cumplimiento de las condiciones establecidas en este artículo y dentro del límite de 2 auditorías por año.

El Responsable del Tratamiento deberá obtener el consentimiento por escrito de TECH 4 TEAM al menos treinta (30) días antes de la realización de la auditoría.

El responsable del tratamiento comunicará toda la información útil relativa a la prueba de intrusión y, en particular

  • Datos de contacto del auditor y de los responsables de la auditoría. 
  • Direcciones IP utilizadas para realizar pruebas de penetración
  • las herramientas utilizadas para la prueba.

Las operaciones de auditoría no implicarán acciones que puedan dañar potencialmente la infraestructura que alberga los Servicios o interferir con otros clientes usuarios.

La información obtenida durante la auditoría es Información Confidencial tal y como se define en este Anexo. 

Si el responsable del tratamiento contrata a un auditor externo, éste se comprometerá por escrito a cumplir las condiciones establecidas en el presente artículo. El Responsable del Tratamiento se compromete a comunicar gratuitamente el informe de auditoría a TECH 4 TEAM, que podrá presentar sus observaciones.

Sin perjuicio del derecho de rescisión que se establece a continuación, TECH 4 TEAM dispondrá de un plazo de tres (3) meses a partir de la fecha de envío del informe para subsanar las deficiencias y/o no conformidades encontradas.

XX - REQUISITOS ADICIONALES

Durante el transcurso de la relación contractual, el Responsable del Tratamiento puede identificar requisitos adicionales, distintos de los identificados en este Anexo, para cumplir con sus obligaciones en virtud del Reglamento de Protección de Datos.

Cuando el responsable del tratamiento identifique requisitos adicionales, las Partes colaborarán de buena fe para acordar modificaciones del presente anexo que permitan que el tratamiento cumpla con dichos requisitos adicionales. Los costes de aplicación de estos requisitos adicionales correrán a cargo del interventor.

APÉNDICE 1 : INSTRUCCIONES DOCUMENTADAS DEL CONTROLADOR

TECH 4 TEAM está autorizado a tratar, por cuenta del Responsable del Tratamiento, los datos personales necesarios para la prestación de los siguientes servicios (finalidades):

  • Permitir al responsable del tratamiento de datos analizar el perfil de sus clientes
  • Permitir que el responsable del tratamiento de datos gestione la inclusión y la exclusión voluntarias fácilmente con la solución ARENAMETRIX
  • Permitir al responsable del tratamiento organizar las comunicaciones a sus clientes (correos electrónicos, sms, redes sociales, ...) en cumplimiento del RGPD
  • Permitir al responsable del tratamiento de datos basarse en análisis y modelos matemáticos basados en datos anonimizados en cumplimiento del RGPD
  • Todo el tratamiento necesario para el correcto funcionamiento del departamento de marketing, comunicación y venta de entradas del responsable del tratamiento a petición de éste

Pueden tratarse las siguientes categorías de datos personales:

  • Nombre, Apellido
  • Edad
  • Tipo
  • Correo electrónico, número de teléfono, nombre de usuario
  • Código postal y dirección postal
  • Opt-in
  • Historial de compras
  • Historial de correos electrónicos y sms
  • otros datos facilitados a petición del responsable del tratamiento :
    • ...
    • ...
    • ...... 

Las categorías de personas afectadas son :

  • Clientes del responsable del tratamiento (compradores de un billete, de una tienda o de un producto refrescante u otros in situ o en línea)
  • Suscriptores del boletín de noticias

otros: ...

APÉNDICE 2: COMPROMISOS DE SEGURIDAD DEL EQUIPO TECH 4

El presente anexo tiene por objeto definir las obligaciones de TECH 4 TEAM en materia de seguridad y confidencialidad de los datos. El presente Anexo se aplicará a los distintos Servicios ofrecidos por TECH 4 TEAM al Responsable del Tratamiento en el marco de la relación contractual.

1 - DEFINICIONES

Los siguientes términos tendrán las siguientes definiciones en este Apéndice:

  • " Cliente " se refiere al Responsable del Tratamiento tal y como se define en el presente Acuerdo de Protección de Datos.

 

  • " Disponibilidad Por "disponibilidad" se entiende la accesibilidad de los servidores y de todos los tratamientos y datos, sistemas y aplicaciones implementados en el marco de los Servicios.

 

  • " Datos " : (i) cualquier información protegida (ya sea en posesión del Cliente o de un tercero con el que el Cliente tenga una obligación de no divulgación), incluyendo, pero sin limitarse, a la información financiera, contable, técnica, estratégica, comercial, legal, administrativa, de conocimientos técnicos y de software, incluyendo, pero sin limitarse, a su código fuente y a cualquier traducción, compilación, copia parcial y trabajo derivado; (ii) cualquier información designada como confidencial en el momento de su divulgación, o cuando se transmita oralmente, identificada como confidencial y registrada por escrito o de otra forma material (incluida la electrónica), incluyendo un aviso de confidencialidad claramente estipulado y transmitido a la parte receptora dentro de los treinta (30) días siguientes a su divulgación; (iii) cualquier información que, a la vista de las circunstancias de la divulgación, deba ser tratada de buena fe como protegida y confidencial, a la que TECH 4 TEAM tenga acceso en el marco de la relación contractual con independencia del soporte. Los "Datos" incluyen los Datos Personales definidos a continuación.

 

  • " Datos personales ", cualquier dato de carácter personal en el sentido del artículo 2 de la Ley nº 78-17, de 6 de enero de 1978, relativa a la informática y a las libertades, a saber: " cualquier información relativa a una persona física que esté identificada o pueda ser identificada, directa o indirectamente, por referencia a un número de identificación o a uno o varios elementos que le sean específicos. "


  • " Procesamiento ", todo tratamiento de datos personales en el sentido del artículo 2 de la Ley nº 78-17 de 6 de enero de 1978 relativa a la informática y las libertades, a saber "toda operación o conjunto de operaciones relativas a dichos datos, cualquiera que sea el procedimiento utilizado, y en particular la recogida, registro, organización, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de puesta a disposición, cotejo o interconexión, así como el bloqueo, el borrado o la destrucción".

 

2 - SEGURIDAD

2.1 Principios generales

En lo que respecta a los Datos Personales definidos anteriormente, TECH 4 TEAM se compromete a garantizar el cumplimiento de las obligaciones legales y reglamentarias que le incumben en cuanto a su papel en la protección de los datos personales con respecto a la Ley Nº 78-17 del 6 de enero de 1978, modificada, y el Reglamento Europeo de Protección de Datos que entró en vigor el 25 de mayo de 2018.

PAdemás, TECH 4 TEAM se compromete a cumplir las normas de seguridad adicionales que se acuerden expresamente con el Cliente en las Condiciones Particulares.

Como parte de su obligación general de seguridad, TECH 4 TEAM se compromete a : 

  • No realizar ninguna operación de Tratamiento de Datos Personales a menos que el Cliente se lo indique y siempre bajo su única y exclusiva responsabilidad, 
  • Utilizar todos los medios a su alcance con respecto a las estipulaciones contractuales y las reglas del arte para garantizar la seguridad y la confidencialidad de los datos personales que se le confían, en particular para evitar que estos datos sean dañados, modificados, alterados o que un tercero no autorizado acceda a ellos.
  • Hacer que el Cliente sea consciente de los posibles riesgos relacionados con el Tratamiento implementado a través de los Servicios.
  • Notificar al Cliente cualquier fallo de seguridad que afecte directa o indirectamente a los Datos o al Tratamiento que le concierne 
  • Hacer copias de seguridad periódicas de los datos 
  • Realizar periódicamente pruebas de penetración (o Pentest) de acuerdo con las disposiciones del Reglamento Europeo de Protección de Datos que entró en vigor el 25 de mayo de 2018
  • Intervenir para corregir anomalías y vulnerabilidades 
  • Mantener los materiales necesarios para el correcto funcionamiento de los Servicios, incluidas las nuevas versiones, parches, copias de seguridad, archivos o actualizaciones, libres de virus informáticos, gusanos, bombas lógicas, troyanos u otros códigos destructivos, hostiles o espías. 

 

2.2 Medidas técnicas de seguridad física y lógica

Tech'4'Team ha tomado todas las precauciones necesarias para proteger la seguridad de los datos personales y, en particular, para evitar que sean distorsionados o dañados o que terceros no autorizados accedan a ellos.

Entre estas medidas se encuentran las siguientes:

  • La transmisión de datos está encriptada mediante la tecnología SSL/https
  • Nuestras APIs están protegidas por mecanismos de autenticación sin estado que utilizan tokens de corta caducidad
  • La inserción de datos se realiza mediante un microservicio desarrollado por Tech4Team que impide cualquier intento externo de realizar operaciones no deseadas en nuestra base de datos
  • Gestionamos el multi-tenancy permitiendo que los datos de cada cliente estén completamente aislados
  • Hacemos una copia de seguridad completa de nuestros datos diariamente, almacenada en AWS S3 y accesible sólo para personas autorizadas

 

El acceso a los datos Solr de Tech'4'Team es altamente seguro. El servidor de Tech'4'Team está alojado en AWS, lo que garantiza una seguridad extremadamente alta. Este servidor se encuentra en una red privada, lo que lo hace invisible desde la web. Está asegurado por AWS, que impide cualquier acceso desde el exterior. Sólo los administradores de Tech4Team tienen acceso SSH seguro a este servidor para la resolución de problemas.

Tech'4'Team, en su calidad de subcontratista, se compromete, de conformidad con la normativa aplicable a la protección de datos de carácter personal, a aplicar las medidas técnicas y organizativas apropiadas en función de la naturaleza de los datos y de los riesgos que presente el tratamiento, con el fin de preservar la confidencialidad, la seguridad y la integridad de los datos de carácter personal a los que pueda tener acceso durante la ejecución de los servicios, y en particular para evitar su deformación, alteración, deterioro, destrucción accidental o ilícita, pérdida, divulgación y/o cualquier acceso por parte de terceros no autorizados previamente

Para garantizar un nivel de seguridad adecuado, el encargado del tratamiento aplicará, en particular, teniendo en cuenta los riesgos para la seguridad de los datos personales y para la intimidad de las personas, según sea necesario, medidas de seguridad apropiadas tales como

  • Pseudonimización y cifrado de datos personales ; 
  • Los medios para garantizar la continuidad de la confidencialidad, la integridad, la disponibilidad y la resistencia de los sistemas y servicios de procesamiento; 
  • Los medios para restablecer la disponibilidad y el acceso a los datos personales en un plazo adecuado en caso de incidente físico o técnico; 
  • Un procedimiento para probar, analizar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

 

2.3 Procedimiento de gestión de anomalías y vulnerabilidades

Tech'4'Team ha tomado todas las precauciones necesarias para preservar la seguridad de los datos personales y ha puesto en marcha un procedimiento para gestionar las anomalías y vulnerabilidades de acuerdo con las recomendaciones del RGPD.

3 - CONFIDENCIALIDAD DE LOS DATOS

Con el fin de garantizar la confidencialidad de los datos, TECH 4 TEAM se compromete a aplicar las medidas de seguridad físicas y lógicas mencionadas anteriormente.

A través de estas medidas, que incluyen la definición de procedimientos de gestión de riesgos en materia de seguridad informática y misiones de sensibilización de su personal, TECH 4 TEAM garantiza la protección del acceso a los Datos y al Tratamiento del Cliente a lo largo de la relación contractual.

Hay que tener en cuenta que, como subcontratista, TECH 4 TEAM se compromete a utilizar los Datos, directa o indirectamente, en todo o en parte, sólo para el estricto cumplimiento de las tareas encomendadas por el Cliente.

TECH 4 TEAM se compromete a no utilizar los Datos para fines distintos a los acordados con el Cliente y a no divulgarlos -por cualquier medio y para cualquier fin- a terceros no autorizados, salvo con el previo consentimiento por escrito del Cliente.

Cuando, en el marco de los Servicios, TECH 4 TEAM acceda, almacene, trate y recoja Datos Personales, se podrá solicitar un compromiso específico de confidencialidad por parte del Cliente.

4 - DISPONIBILIDAD

La infraestructura de los Sistemas de Información de TECH 4 TEAM ha sido diseñada para garantizar un nivel óptimo de disponibilidad e integridad de los Servicios. Los compromisos de TECH 4 TEAM en materia de disponibilidad se detallan en el artículo 7.1 de las Condiciones Generales de los Servicios

5 - AUDITABILIDAD

5.1 Revisiones internas de la calidad

Las revisiones de "calidad" realizadas a los Servicios son parte integrante del ciclo de mejora continua de los Servicios prestados por los equipos de TECH 4 TEAM. El objetivo principal de estas revisiones es comprobar que los Servicios se ajustan a lo acordado contractualmente. El análisis de las discrepancias debe permitir a las partes interesadas cuestionar sus prácticas para, en su caso, cuestionarlas y proponer otras nuevas más adecuadas.

5.2 Auditorías externas

Cf. supra Art. XIX

6 - SALVAGUARDIA

TECH 4 TEAM garantizará la copia de seguridad del Tratamiento y de los Datos. Los datos necesarios para el funcionamiento de los Servicios son objeto de una copia de seguridad diaria. Esto incluye cachés, archivos cargados por los clientes o recibidos por FTP o API. Nuestro entorno nos permite tener varias copias de seguridad y asegurar una redistribución en pocas horas en caso de un problema en el servidor.

7 - ALOJAMIENTO - FUNCIONAMIENTO

Las condiciones de alojamiento y funcionamiento se recogen en los artículos 7.1 y 7.2 de las Condiciones Generales de Servicio.

8 - REVERSIBILIDAD

Ver Supra XIII

9 - SEGUIMIENTO

El seguimiento operativo de los compromisos de seguridad es implementado por las Partes durante toda la duración de la relación contractual. Por lo tanto, las Partes podrán designar un Corresponsal de Seguridad para tratar estas cuestiones y, en particular, para ser contactado en caso de una anomalía que afecte a la seguridad o a la confidencialidad de los Datos y del Tratamiento.

No hay comentarios

Lo siento, el formulario de comentarios está cerrado en este momento.